IBMのIBM DevOps PlanにおけるHTTP ヘッダのスクリプト構文の不適切な無効化に関する脆弱性
| Title |
IBMのIBM DevOps PlanにおけるHTTP ヘッダのスクリプト構文の不適切な無効化に関する脆弱性
|
| Summary |
IBM DevOps Plan 3.0.0から3.0.6において、HOSTヘッダーの入力が適切に検証されていないため、HTTPヘッダーインジェクションの脆弱性があります。この脆弱性を悪用することで、攻撃者は脆弱なシステムに対してクロスサイトスクリプティングやキャッシュポイズニング、セッションハイジャックなど、さまざまな攻撃を実行することが可能です。
|
| Possible impacts |
・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 |
| Solution |
ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
June 11, 2026, midnight |
| Registration Date |
June 17, 2026, 3:46 p.m. |
| Last Update |
June 17, 2026, 3:46 p.m. |
|
CVSS3.0 : 警告
|
| Score |
6.1
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Affected System
| IBM |
|
IBM DevOps Plan 3.0.0 以上 3.0.7 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年06月17日]
掲載 |
June 17, 2026, 3:46 p.m. |
NVD Vulnerability Information
CVE-2026-4096
| Summary |
IBM DevOps Plan 3.0.0 through 3.0.6 is vulnerable to HTTP header injection, caused by improper validation of input by the HOST headers. This could allow an attacker to conduct various attacks against the vulnerable system, including cross-site scripting, cache poisoning or session hijacking
|
| Publication Date |
June 12, 2026, 1:16 a.m. |
| Registration Date |
June 12, 2026, 4:18 a.m. |
| Last Update |
June 17, 2026, 1:23 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:ibm:devops_plan:*:*:*:*:*:*:*:* |
3.0.0 |
|
|
3.0.7 |
Related information, measures and tools
Common Vulnerabilities List