Er is een kritieke HTML-injectie kwetsbaarheid ontdekt in IBM Informix Dynamic Server versies 12.10 en 14.10, aangeduid als CVE-2024-49343. Deze kwetsbaarheid stelt een externe aanvaller in staat om kwaadwillige HTML-code in te voegen, wat kan worden uitgevoerd in de webbrowser van het slachtoffer binnen de beveiligingscontext van de hostingsite.
De aanval heeft als vector een netwerkverbinding en vereist weinig privileges en gebruikersinteractie, wat de complexiteit van de aanval laag maakt. Hoewel de impact op beschikbaarheid nihil is, kunnen de vertrouwelijkheid en integriteit van systemen worden aangetast.
Overzicht
Deze kwetsbaarheid valt onder de classificatie CWE-80 Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS). Het probleem doet zich voor omdat de getroffen versies 12.10 en 14.10 van IBM Informix Dynamic Server niet correct omgaan met script-gerelateerde HTML-tags.
Aanbevelingen
- Download en installeer de permanente oplossing die is uitgebracht in IBM Informix HQ versies 12.10.xC16W2, 14.10.xC11W1 en versie 3.0.0.
- Updates zijn beschikbaar op IBM Fix Central. Volg de instructies voor database server upgrades uit de Informix Servers documentatie.
Bronnen
Vraag en Antwoord
Wat is CVE-2024-49343?
Het betreft een HTML-injectie kwetsbaarheid in IBM Informix Dynamic Server die potentieel misbruik toestaat voor kwaadaardige doeleinden.
Welke systemen zijn kwetsbaar voor CVE-2024-49343?
Versies 12.10 en 14.10 van IBM Informix Dynamic Server zijn getroffen.
Bestaat er al een patch of beveiligingsupdate?
Ja, er is een patch beschikbaar die de beveiligingslekken oplost. Zie de aanbevelingen voor meer details.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan kwaadwillige HTML-code in de browser van een slachtoffer injecteren, wat kan leiden tot onbedoelde toegang of manipulatie binnen de beveiligingscontext van de hostingsite.
