VULHUB ™

IBM BladeCenter是美国IBM公司的系列高性能刀片服务器。 BladeCenter所使用的高级管理模块(AMM)的Web管理接口没有正确地过滤用户所提交的输入和请求。AMM没有验证HTTP请求的来源，如果通过认证的管理员受骗查看了恶意的HTML内容的话，向AMM的Web管理接口提交恶意表单就可以完全获得管理员权限。由于管理界面允许No session timeout选项，如果没有从浏览器清除缓存的认证凭据的话，即使已经关闭了包含有管理界面的标签页，用户仍可能受这种攻击的影响。

IBM BladeCenter是美国IBM公司的系列高性能刀片服务器。 BladeCenter所使用的高级管理模块(AMM)的Web管理接口没有正确地过滤用户所提交的输入和请求。AMM没有验证HTTP请求的来源，如果通过认证的管理员受骗查看了恶意的HTML内容的话，向AMM的Web管理接口提交恶意表单就可以完全获得管理员权限。由于管理界面允许No session timeout选项，如果没有从浏览器清除缓存的认证凭据的话，即使已经关闭了包含有管理界面的标签页，用户仍可能受这种攻击的影响。