CH azonosító
CH-5276Angol cím
HP SiteScope Cross-Site Scripting and Session Fixation VulnerabilitiesFelfedezés dátuma
2011.07.27.Súlyosság
AlacsonyÉrintett rendszerek
Hewlett Packard (HP)SiteScope
Érintett verziók
HP SiteScope 10.x
HP SiteScope 11.x
HP SiteScope 9.x
Összefoglaló
Két sérülékenységet jelentettek a HP SiteScope szoftverben, amelyeket a támadók kihasználhatnak cross-site scripting (XSS/CSS) és munkamenet fixálási támadások lefolytatásához.
Leírás
- Egy nem részletezett bemeneti adat nincs megfelelően megtisztítva mielőtt visszakerülne a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.
- Egy munkamenet kezelési hiba kihasználható egy másik felhasználó munkamenetének eltérítéséhez, úgy hogy a felhasználó egy preparált linket követ a bejelentkezés előtt.
A sérülékenységeket a 11.x, 10.x, 9.x és korábbi Linuxos, Unixos és Windowsos platformoknál jelentették.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Hijacking (Visszaélés)Input manipulation (Bemenet módosítás)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 45440
Egyéb referencia: h20566.www2.hp.com
CVE-2011-2400 - NVD CVE-2011-2400
CVE-2011-2401 - NVD CVE-2011-2401