Biznet BilişimBiznet Bilişim

CA API Portal Cross Site Scripting (XSS) Güvenlik Açıkları

Yazar: Alphan Yavaş

CVE: CVE-2018-6586, CVE-2018-6587, CVE-2018-6588

CVSS: 6.1 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:N/A:L

Risk Seviyesi: Orta

Ürün: CA API Developer Portal

Etkilenen Sürümler: CA API Portal 3.5 CR6 ve öncesi

Yama Tarihi: 28 Mart 2018

Raporlayan: Alphan Yavaş

Problem Detayları: CA API portal üzerinde bulunan çeşitli uygulamalarda Cross Site Scripting (XSS) zafiyetine neden olan problemler tespit edilmiştir. XSS zafiyetleri kullanıcılara ait oturum bilgilerini çalma amaçlı saldırılarda kullanılabilirler.

  • CVE-2018-6586 – Profil fotoğraf uygulamasından kaynaklanan Stored XSS zafiyeti
  • CVE-2018-6587 – widgetID parametresi Reflected XSS ve Link Injection zafiyetleri
  • CVE-2018-6588 – apiExplorer uygulaması Reflected XSS zafiyeti

Çözüm/Öneri: Belirtilen problemler CA API geliştirici portalı 3.5 CR7 sürümünde
giderilmiştir.

Referanslar:
https://support.ca.com/us/product-content/recommended-reading/security-notices/ca20180328-01–security-notice-for-ca-api-developer-portal.html

alphan.yavas
Yazar: alphan.yavas