Összefoglaló
A HP Insight Control Server Migration olyan sérülékenységeit jelentették, amelyeket rosszindulatú helyi felhasználók és támadók kihasználva megkerülhetnek bizonyos biztonsági korlátokat és a támadók cross-site scripting (XSS) és cross-site kérés hamisítás (CSFR/XSFR – cross-site request forgery) támadásokat indíthatnak.
Leírás
- Egy meghatározatlan hibát kihasználva jogosulatlan hozzáférés szerezhető bizonyos adatokhoz.
- Az alkalmazás lehetővé tesz bizonyos műveleteket HTTP kéréseken keresztül, a kérések ellenőrzése nélkül. Ezt kihasználva meghatározatlan műveleteket lehet végrehajtani, amennyiben a bejelentkezett felhasználó, meglátogat egy rosszindulatú weboldalt.
- Egy sérülékenységet kihasználva fájlokhoz lehet hozzáférni a webes alkalmazás vagy könyvtára külső oldaláról.
- Az URL-en keresztül adott bemenetet cross-site scripting (XSS) támadások indítására lehet használni.
A sérülékenységeket a 6.1 vagy korábbi Windows változatokban jelentették.
Megoldás
Frissítsen a 6.1 vagy újabb verzióra.
Támadás típusa
Input manipulation (Bemenet módosítás)Other (Egyéb)
Unknown (Ismeretlen)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: itrc.hp.com
SECUNIA 40553
SECUNIA 34975
CVE-2009-1523 - NVD CVE-2009-1523
CVE-2009-1524 - NVD CVE-2009-1524
CVE-2010-1970 - NVD CVE-2010-1970
CVE-2010-1971 - NVD CVE-2010-1971