IBM Verify Identity Access Container 11.0 through 11.0.2 and IBM Security Verify Access Container 10.0 through 10.0.9.1 and IBM Verify Identity Access 11.0 through 11.0.2 and IBM Security Verify Access 10.0 through 10.0.9.1 allows certificate listings retrieved via a browser session to return a JSON payload while incorrectly specifying the response Content-Type as text/html. Because the content is delivered with an HTML MIME type, browsers may interpret the JSON data as executable script under certain conditions. This creates an opportunity for JavaScript injection, potentially leading to cross-site scripting (XSS).
IBM Verify Identity Access Container and Security Verify Access versions 10.0-11.0.2 contain an XSS vulnerability where certificate listings return JSON with incorrect HTML Content-Type, allowing potential JavaScript injection. Attackers could exploit this to execute malicious scripts in user browsers during certificate retrieval operations.
تحتوي نسخ IBM Verify Identity Access Container (11.0-11.0.2) و IBM Security Verify Access (10.0-10.0.9.1) على ثغرة حقن JavaScript حيث يتم إرجاع بيانات JSON برأس Content-Type محدد كـ text/html بدلاً من application/json. قد يؤدي هذا إلى تفسير المتصفح للبيانات كبرنامج نصي قابل للتنفيذ، مما يسمح بهجمات XSS.
حاويات IBM Verify Identity Access والإصدارات 10.0-11.0.2 من Security Verify Access تحتوي على ثغرة XSS حيث تُرجع قوائم الشهادات JSON برأس Content-Type غير صحيح. يمكن للمهاجمين استغلال هذا لتنفيذ برامج نصية ضارة في متصفحات المستخدمين.
Update IBM Verify Identity Access Container to version 11.0.3 or later, and IBM Security Verify Access Container to version 10.0.10 or later. Implement Content Security Policy (CSP) headers to restrict script execution. Apply input validation and output encoding for all certificate listing responses. Monitor for suspicious certificate access patterns.
قم بتحديث IBM Verify Identity Access Container إلى الإصدار 11.0.3 أو أحدث، و IBM Security Verify Access Container إلى الإصدار 10.0.10 أو أحدث. طبّق رؤوس سياسة أمان المحتوى (CSP) لتقييد تنفيذ البرامج النصية. طبّق التحقق من الإدخال والترميز الصحيح للمخرجات. راقب أنماط الوصول المريبة للشهادات.