Összefoglaló
A HPE iLO közepes kockázati besorolású sérülékenysége vált ismertté, amelynek kihasználása Cross-site scripting támadásokat tesz lehetővé távoli felhasználók számára.
Leírás
A program nem megfelelően ellenőrzi a felhasználó által beírt HTML kódot. Ezt a hibát kihasználva a támadó tetszőleges kódot futtathat a célpont böngészőjében. A kód a sérülékenység miatt úgy tűnik, mintha a HPE integrated Light Out (iLO) biztonságos környezetében futna. Ennek eredményeképpen a támadó hozzá fog férni a célpont sütijeihez (a belépésre jogosítókhoz is), amennyiben az nemrég lépett be az oldalra, valamint a felhasználó nevében tevékenykedhet az oldalon.
Megoldás
A HP kiadott egy frissítést iLO3 (1.88) és iLO4 (2.44) verziókra, amely az alábbi hivatkozáson érhető el: https://h20564.www2.hpe.com/hpsc/doc/public/display?docId=emr_na-c05337025
Támadás típusa
Cross Site Scripting (XSS/CSS)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: securitytracker.com