CH azonosító
CH-13794Angol cím
HPE Systems Insight Manager Unspecified Flaws Let Remote and Local Users Deny Service and Remote Users Conduct Cross-Site Scripting AttacksFelfedezés dátuma
2016.12.18.Súlyosság
MagasÉrintett rendszerek
Hewlett Packard (HP)Systems Insight Manager (SIM)
Érintett verziók
HPE Systems Insight Manager (SIM) 7.6-t megelőző verziók
Összefoglaló
A HPE Systems Insight Manager (SIM) verzióinak többszörös sérülékenysége vált ismerté, melyeket kihasználva a támadó szolgáltatásmegtagadást (DoS) idézhet elő, tetszőleges kódot futtathat, Cross-Site Scripting (XSS), illetve Cross-Site Request Forgery (CSRF) támadást hajthat végre, vagy bizalmas információkat szerezhet meg.
Leírás
A program nem megfelelően ellenőrzi a felhasználó által kitöltött beviteli mezőket a HTML kódban, mielőtt megjelenítené azokat. A hibát kihasználva a támadó tetszőleges szkript kódot futtathat a felhasználó böngészőjében. Ennek eredményeképpen a támadó hozzáférhet a felhasználó sütijeihez (a belépésre jogosítókhoz is), illetve a felhasználó által nemrég beküldött adatokhoz is. Ezen túlmenően különböző tevékenységeket végezhet az oldalon a célfelhasználó nevében.
A sérülékenységeket kihasználva a helyi és távoli felhasználók szolgáltatásmegtagadást okozhatnak a rendszeren.
Megoldás
Frissítsen a legújabb verzióraMegoldás
Frissítsen a 7.6-os verzióra.
Támadás típusa
Cross Site Scripting (XSS/CSS)Cross-Site Request Forgery (CSRF)
Deny of service (Szolgáltatás megtagadás)
Information disclosure (Információ/adat szivárgás)
execute arbitrary code
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Remote/Network (Távoli/hálózat)
Hivatkozások
Gyártói referencia: h20566.www2.hpe.com
Egyéb referencia: securitytracker.com
CVE-2016-8516 - NVD CVE-2016-8516
CVE-2016-8517 - NVD CVE-2016-8517
CVE-2016-8518 - NVD CVE-2016-8518