Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2016-00905

Опубликовано: 12 мар. 2016
Источник: fstec
CVSS2: 6.5
EPSS Низкий

Описание

Уязвимость программной системы управления активами предприятия IBM Maximo Asset Management связана с непринятием мер по защите структуры SQL-запроса. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные SQL-команды

Вендор

IBM Corp.

Наименование ПО

IBM Tivoli Asset Management for IT
IBM SmartCloud Control Desk
IBM Maximo Asset Management
Maximo for Life Sciences
Maximo for Oil and Gas
Maximo for Government
Maximo for Transportation
Maximo for Utilities
Maximo for Nuclear Power
IBM Tivoli Service Request Manager
Tivoli Change and Configuration Management Database
Maximo Asset Management Essentials
Maximo Asset Management for Energy Optimization

Версия ПО

7.2 (IBM Tivoli Asset Management for IT)
7.5 (IBM SmartCloud Control Desk)
от 7.1 до 7.1.1.13 включительно (IBM Maximo Asset Management)
от 7.6.0 до 7.6.0.3 IFIX001 (IBM Maximo Asset Management)
7.5 (Maximo for Life Sciences)
7.6 (Maximo for Life Sciences)
7.5 (Maximo for Oil and Gas)
7.5.1 (Maximo for Oil and Gas)
7.5 (Maximo for Government)
7.5 (Maximo for Transportation)
7.5.1 (Maximo for Transportation)
7.6.1 (Maximo for Transportation)
7.5 (Maximo for Utilities)
7.6.0 (IBM SmartCloud Control Desk)
7.5 (Maximo for Nuclear Power)
7.5.1 (Maximo for Nuclear Power)
от 7.1 до 7.1.1.13 включительно (IBM Tivoli Asset Management for IT)
7.1.2 (Maximo for Oil and Gas)
7.1.0 (Maximo for Oil and Gas)
7.1 (IBM Tivoli Service Request Manager)
7.2 (IBM Tivoli Service Request Manager)
7.2.1 (IBM Tivoli Service Request Manager)
7.5.1 (IBM SmartCloud Control Desk)
7.5.1.1 (IBM SmartCloud Control Desk)
7.5.1.2 (IBM SmartCloud Control Desk)
7.5.3 (IBM SmartCloud Control Desk)
7.1 (Maximo for Nuclear Power)
7.1.1 (Maximo for Nuclear Power)
7.1 (Tivoli Change and Configuration Management Database)
7.1.1 (Tivoli Change and Configuration Management Database)
7.2 (Tivoli Change and Configuration Management Database)
7.2.1 (Tivoli Change and Configuration Management Database)
от 7.5.0 до 7.5.0.9 IFIX003 (IBM Maximo Asset Management)
7.1.0 (Maximo for Transportation)
7.1.1 (Maximo for Transportation)
7.1.2 (Maximo for Life Sciences)
7.1.0 (Maximo for Life Sciences)
7.5 (Maximo Asset Management Essentials)
7.1.1 (Maximo Asset Management Essentials)
7.1 (Maximo for Government)
7.1.1 (Maximo for Government)
7.1 (Maximo Asset Management for Energy Optimization)
7.1.1 (Maximo Asset Management for Energy Optimization)
7.1.1 (Maximo for Utilities)
7.1.2 (Maximo for Utilities)
7.1.0 (Maximo for Utilities)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Linux .
Сообщество свободного программного обеспечения Linux .
Microsoft Corp Windows -
Microsoft Corp Windows -
IBM Corp. AIX .
IBM Corp. AIX .
HP Inc. HP-UX .
HP Inc. HP-UX .

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,5)

Возможные меры по устранению уязвимости

Информация об устранении уязвимости доступна по адресу: http://www-01.ibm.com/support/docview.wss?uid=swg21974938

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 32%
0.00126
Низкий

6.5 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2015-7448

CVSS3: 5.4
nvd
почти 10 лет назад

SQL injection vulnerability in IBM Maximo Asset Management 7.1 through 7.1.1.13, 7.5.0 before 7.5.0.9 IFIX003, and 7.6.0 before 7.6.0.3 IFIX001; Maximo Asset Management 7.5.0 before 7.5.0.9 IFIX003, 7.5.1, and 7.6.0 before 7.6.0.3 IFIX001 for SmartCloud Control Desk; and Maximo Asset Management 7.1 through 7.1.1.13 and 7.2 for Tivoli IT Asset Management for IT and certain other products allows remote authenticated users to execute arbitrary SQL commands via unspecified vectors.

github логотип

GHSA-4283-cqg2-3qrc

CVSS3: 5.4
github
больше 3 лет назад

SQL injection vulnerability in IBM Maximo Asset Management 7.1 through 7.1.1.13, 7.5.0 before 7.5.0.9 IFIX003, and 7.6.0 before 7.6.0.3 IFIX001; Maximo Asset Management 7.5.0 before 7.5.0.9 IFIX003, 7.5.1, and 7.6.0 before 7.6.0.3 IFIX001 for SmartCloud Control Desk; and Maximo Asset Management 7.1 through 7.1.1.13 and 7.2 for Tivoli IT Asset Management for IT and certain other products allows remote authenticated users to execute arbitrary SQL commands via unspecified vectors.

EPSS

Процентиль: 32%
0.00126
Низкий

6.5 Medium

CVSS2