一、 漏洞 CVE-2021-38977 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
IBM Tivoli Key Lifecycle Manager 3.0、3.0.1、4.0 和 4.1 并未在授权令牌或会话令牌上设置安全属性。攻击者可以通过向用户提供一个 http:// 链接或将该链接嵌入到用户访问的网站中,以便获取令牌值。令牌将发送到不安全的链接,然后攻击者可以通过监控流量来获取令牌值。IBM X-Force ID:212782。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
IBM Tivoli Key Lifecycle Manager 3.0, 3.0.1, 4.0, and 4.1 does not set the secure attribute on authorization tokens or session cookies. Attackers may be able to get the cookie values by sending a http:// link to a user or by planting this link in a site the user goes to. The cookie will be sent to the insecure link and the attacker can then obtain the cookie value by snooping the traffic. IBM X-Force ID: 212782.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
IBM Tivoli Key Lifecycle Manager 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
IBM Tivoli Key Lifecycle Manager(TKLM)是美国IBM公司的一套密钥生命周期管理软件。该软件为存储设备提供密钥存储、密钥维护和密钥生命周期管理等功能。 IBM Tivoli Key Lifecycle Manager 存在安全漏洞,该漏洞源于IBM Tivoli Key Lifecycle Manager没有在授权令牌或会话cookie上设置安全属性。攻击者可利用该漏洞通过向用户发送http:链接或在用户访问的站点中植入该链接来获取cookie值。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2021-38977 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2021-38977 的情报信息