CH azonosító
CH-6788Angol cím
HP Insight Management Agents Multiple VulnerabilitiesFelfedezés dátuma
2012.05.01.Súlyosság
AlacsonyÉrintett rendszerek
Hewlett Packard (HP)Insight Management Agent
Érintett verziók
HP / Compaq Insight Management Agents
Összefoglaló
A HP Insight Management Agents több sérülékenységét jelentették, amelyeket kihasználva a felhasználók módosíthatnak bizonyos adatokat, szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő, illetve támadók hamisításos, cross-site scripting (XSS/CSS) és cross-site request forgery típusú (XSRF/CSRF) támadásokat indíthatnak.
Leírás
- A program engedélyezi a felhasználónak bizonyos műveletek végrehajtását HTTP kérések útján, anélkül, hogy ellenőrizné a kérés hitelességét. Ezt kihasználva, nem részletezett műveleteket lehet végrehajtani, ha egy bejelentkezett adminisztrátor meglátogat egy rosszindulatú weboldalt.
- Bizonyos részletezett bemeneti adatok nincsenek megfelelően leellenőrizve, mielőtt a felhasználókat átirányítaná. Ezt kihasználva a felhasználó tetszőleges weboldalra irányítható át, egy a speciálisan szerkesztett linkkel ami egy megbízható domain-en keresztül érhető el.
- Bizonyos nem részletezett bemeneti adatok nincsenek megfelelően leellenőrizve, a felhasználónak történő visszaadás előtt. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
- Egy nem részletezett hiba kihasználásával bizonyos adatok szerkeszthetővé vagy törölhetővé válnak. Jelenleg nem áll rendelkezésre több információ a hibáról.
A sérülékenységeket a Windows alatt futó 9.0.0-ás verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Deny of service (Szolgáltatás megtagadás)Hijacking (Visszaélés)
Input manipulation (Bemenet módosítás)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
SECUNIA 49054
CVE-2012-2003 - NVD CVE-2012-2003
CVE-2012-2004 - NVD CVE-2012-2004
CVE-2012-2005 - NVD CVE-2012-2005
CVE-2012-2006 - NVD CVE-2012-2006
Gyártói referencia: h20000.www2.hp.com