关键漏洞信息 漏洞概述 CVE编号: CVE-2023-36027, CVE-2024-39730, CVE-2015-5099, CVE-2023-26546, CVE-2005-36026 受影响产品及版本: IBM Datacap 9.1.7, 9.1.8, 9.1.9; Datacap Navigator All 修复建议: 安装Fix包以解决所有受影响的产品/版本中的漏洞。 漏洞详情 CVE-2023-36027 描述: 远程攻击者可通过恶意网站劫持受害者的点击操作,进一步发起攻击。 CWE: CWE-1021: Improper Restriction of Rendered UI Layers or Frames CVSS评分: 6.1 CVE-2024-39730 描述: Datacap Navigator允许远程攻击者通过恶意网站劫持受害者的点击操作,进一步发起攻击。 CWE: CWE-913: User Interface (UI) Misrepresentation of Critical Information CVSS评分: 6.1 CVE-2015-5099 描述: 跨站脚本(XSS)漏洞,允许远程攻击者注入任意Web脚本或HTML。 CWE: CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') CVSS评分: 6.1 CVE-2023-26546 描述: libtiff 4.5.0存在缓冲区溢出漏洞,当libtiff读取损坏的TIFF文件时,可导致缓冲区溢出。 CWE: CWE-120: Buffer Copy without Checking Size of Input ('Classic Buffer Overflow') CVSS评分: 3.3 CVE-2005-36026 描述: Datacap未在授权令牌或会话cookie上设置secure属性,攻击者可通过HTTP链接获取cookie值。 CWE: CWE-514: Sensitive Cookie in HTTPS Session Without 'Secure' Attribute CVSS评分: 4.3 影响的产品和版本 IBM Datacap 9.1.7 IBM Datacap 9.1.8 IBM Datacap 9.1.9 Datacap Navigator All 修复措施 强烈建议安装Fix包以解决上述所有受影响的产品/版本中的漏洞。