漏洞标题
N/A
漏洞描述信息
IBM Web Application Firewall,在更新31.030版本的G400 IPS-G400-IB-1和GX4004 IPS-GX4004-IB-2 appliances上使用时,无法正确处理具有相同参数多次出现的查询字符串,这允许远程攻击者通过将危险参数值分割成子字符串来绕过预期入侵检测,例如,一个SQL语句被拆分为多个iid参数,然后发送到 IIS Web服务器上的.aspx文件。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
IBM Web Application Firewall, as used on the G400 IPS-G400-IB-1 and GX4004 IPS-GX4004-IB-2 appliances with update 31.030, does not properly handle query strings with multiple instances of the same parameter, which allows remote attackers to bypass intended intrusion prevention by dividing a dangerous parameter value into substrings, as demonstrated by a SQL statement that is split across multiple iid parameters and then sent to a .aspx file on an IIS web server.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
IBM Web Application Firewall多个应用程序输入验证漏洞
漏洞描述信息
IBM Web Application Firewall是IBM IPS产品中使用的用于完善IBM安全产品的端到端Web应用安全解决方案。 在G400 IPS-G400-IB-1和GX4004 IPS-GX4004-IB-2应用程序上使用的IBM Web Application Firewall不能正确处理带有多个相同参数实例的查询字符串。远程攻击者可以通过将危险参数拆分到多个子串中绕过预设的入侵防御。
CVSS信息
N/A
漏洞类别
授权问题