CH azonosító
CH-7531Angol cím
HP Business Availability Center Multiple VulnerabilitiesFelfedezés dátuma
2012.09.06.Súlyosság
AlacsonyÉrintett rendszerek
Business Availability CenterHewlett Packard (HP)
Érintett verziók
HP Business Availability Center 8.x
Összefoglaló
A HP Business Availability Center több sérülékenységét jelentették, amiket kihasználva a rosszindulatú felhasználók eltéríthetik más felhasználók munkamenetét, illetve támadók cross-site scripting (XSS/CSS) és cross-site request forgery (XSRF/CSRF) támadásokat indíthatnak.
Leírás
- Bizonyos nem részletezett bemeneti adat nem megfelelően van megtisztítva, mielőtt visszakerül a felhasználóhoz. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
- Az alkalmazás lehetővé teszi a felhasználóknak bizonyos műveletek elvégzését HTTP kérések segítségével anélkül, hogy ellenőrizné azok érvényességét. Ezt kihasználva nem részletezett műveleteket lehet végrehajtani, ha egy bejelentkezett felhasználó meglátogat egy káros weboldalt.
- Egy nem részletezett hibát kihasználva el lehet téríteni egy felhasználó munkamenetét.
A sérülékenységeket a Windows és Solaris alatt futó 8.07 verziókban jelentették.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Unspecified (Nem részletezett)
Hatás
Loss of integrity (Sértetlenség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: h20000.www2.hp.com
CVE-2012-3255 - NVD CVE-2012-3255
CVE-2012-3256 - NVD CVE-2012-3256
CVE-2012-3257 - NVD CVE-2012-3257
SECUNIA 50553