CVE-2024-51454
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 8 — wyżej niż 8% wszystkich znanych CVE
Streszczenie
IBM Engineering Workflow Management w wersjach 7.0.2 do 7.0.2 Interim Fix 035, 7.0.3 do 7.0.3 Interim Fix 017 oraz 7.1 do 7.1 Interim Fix 004 jest podatny na wstrzykiwanie nagłówków HTTP z powodu nieprawidłowej walidacji danych wejściowych w nagłówkach HOST. Może to umożliwić atakującemu przeprowadzenie różnych ataków na podatny system, w tym cross-site scripting, zatruwanie pamięci podręcznej lub przejęcie sesji.
Ocena ryzyka
Ryzyko dla organizacji obejmuje możliwość kradzieży sesji użytkowników, manipulację treścią wyświetlaną w przeglądarkach oraz zatruwanie pamięci podręcznej, co może prowadzić do naruszenia poufności i integralności danych.
Rekomendacja
Zaleca się natychmiastową aktualizację do najnowszej wersji IBM Engineering Workflow Management, która zawiera poprawkę usuwającą tę podatność, oraz wdrożenie mechanizmów walidacji nagłówków HOST po stronie serwera.
Oryginalny opis (angielski, źródło NVD)
IBM Engineering Workflow Management 7.0.2 through 7.0.2 Interim Fix 035, 7.0.3 through 7.0.3 Interim Fix 017, and 7.1 through 7.1 Interim Fix 004 is vulnerable to HTTP header injection, caused by improper validation of input by the HOST headers. This could allow an attacker to conduct various attacks against the vulnerable system, including cross-site scripting, cache poisoning or session hijacking.

