漏洞描述
IBM BladeCenter是美国IBM公司的系列高性能刀片服务器。 BladeCenter所使用的高级管理模块(AMM)的Web管理接口没有正确地过滤用户所提交的输入和请求。AMM没有验证HTTP请求的来源,如果通过认证的管理员受骗查看了恶意的HTML内容的话,向AMM的Web管理接口提交恶意表单就可以完全获得管理员权限。由于管理界面允许No session timeout选项,如果没有从浏览器清除缓存的认证凭据的话,即使已经关闭了包含有管理界面的标签页,用户仍可能受这种攻击的影响。