Schwachstelle In CA Automic Workload Automation Web Interface

Title

Cross-site scripting

Product

CA Automic Workload Automation Web Interface (AWI), formerly Automic Automation Engine (UC4)

Vulnerable Version

12.0, 12.1, 12.2

Fixed Version

12.0.6 HF2, 12.1.3 HF3, 12.2.1 HF1

CVE Number

CVE-2019-6504

Impact

medium

Homepage

https://www.ca.com

Found

14.10.2018

Marc Nimmerrichter (Office Vienna) SEC Consult Vulnerability Lab

Die Verwendung eines veralteten Java-UI-Frameworks macht CA Automic AWI (ehemals Automic oder UC4) anfällig für persistentes Cross-Site Scripting (XSS). Angreifer mit eingeschränkten Berechtigungen in AWI können diese Sicherheitsanfälligkeit ausnutzen, um die Konten anderer Benutzer zu übernehmen und Berechtigungen zu eskalieren.

Zum Security-Advisory (Englisch).

EOF M. Nimmerrichter / @2019

Interesse an einer Zusammenarbeit mit den Experten von SEC Consult? Senden Sie uns Ihre Bewerbung.
Möchten Sie Ihre eigene Cyber-Sicherheit mit den Experten von SEC Consult verbessern? Kontaktieren Sie unsere lokalen Büros.

Zurück

Schwachstelle In CA Automic Workload Automation Web Interface

Wir nutzen Cookies

Technisch erforderlich

Analyse / Statistik

Matomo