CH azonosító
CH-4806Angol cím
HP SiteScope Cross-Site Scripting and Script InsertionFelfedezés dátuma
2011.04.24.Súlyosság
KözepesÉrintett rendszerek
Hewlett Packard (HP)SiteScope
Érintett verziók
HP SiteScope 11.x
HP SiteScope 10.x
HP SiteScope 9.x
Összefoglaló
A HP SiteScope két sérülékenységét jelentették, amelyeket kihasználva a támadók cross-site scripting (CSS/XSS) és script becskendezéses (script injection) támadást indíthatnak.
Leírás
- Egy nem részletezett bemeneti adat nem megfelelően van megtisztítva, mielőtt visszakerül a felhasználóhoz. Ezt kihasználva tetszőleges HTML és script kód futtatása lehetséges a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.
- Egy nem részletezett bemeneti adat nem megfelelően van megtisztítva, mielőtt eltárolásra kerül. Ezt kihasználva tetszőleges HTML és script kód befecskendezése lehetséges a felhasználó böngészőjének munkamenetébe, az érintett oldallal kapcsolatosan.
A sérülékenységeket a 9.54, 10.13, 11.01 és a 11.1 verziókban jelentették.
Megoldás
Frissítsen a 11.1 verzióra, vagy telepítse a SS1110110412 javítócsomagot!
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: itrc.hp.com
CVE-2011-1726 - NVD CVE-2011-1726
CVE-2011-1727 - NVD CVE-2011-1727
SECUNIA 44354
SECUNIA 44322