关键漏洞信息 漏洞概述 问题: Informix HQ 的“警报配置”功能易受 HTML 注入攻击,并且在多次错误密码尝试后不会锁定用户。 影响: 该漏洞仅影响用户的会话,不会影响其他用户会话。 漏洞详情 CVE-2024-49342 - 描述: IBM Informix Dynamic Server 使用不充分的账户锁定设置,允许远程攻击者暴力破解账户凭据。 - CVSS 分数: 7.5 - CVSS 向量: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N) CVE-2024-49343 - 描述: IBM Informix Dynamic Server 易受 HTML 注入攻击。远程攻击者可以注入恶意 HTML 代码,当受害者查看时,会在宿主站点的安全上下文中执行。 - CVSS 分数: 5.4 - CVSS 向量: (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N) 受影响的产品和版本 IBM Informix Dynamic Server: 14.10, 12.10.x, 14.10, 12.10.x 修复措施 已发布永久修复程序,包含在 IBM Informix HQ 版本 12.10.xC16W2、14.10.xC11W1 和 IBM Informix HQ 版本 3.0.0 中。 修复程序可在 IBM Fix Central 获取。 绕过和缓解措施 无绕过和缓解措施。 其他信息 参考: 完整的 CVSS v3 指南和在线计算器。 相关链接: IBM Secure Engineering Web Portal 和 IBM Product Security Incident Response Blog。