HP Insight Management Agents sérülékenységek

CH azonosító

Angol cím

Felfedezés dátuma

Súlyosság

Érintett rendszerek

Érintett verziók

HP / Compaq Insight Management Agents

Összefoglaló

A HP Insight Management Agents több sérülékenységét jelentették, amelyeket kihasználva a felhasználók módosíthatnak bizonyos adatokat,  szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő, illetve támadók hamisításos, cross-site scripting (XSS/CSS) és cross-site request forgery típusú (XSRF/CSRF) támadásokat indíthatnak.

Leírás

1. A program engedélyezi a felhasználónak bizonyos műveletek végrehajtását HTTP kérések útján, anélkül, hogy ellenőrizné a kérés hitelességét. Ezt kihasználva, nem részletezett műveleteket lehet végrehajtani, ha egy bejelentkezett adminisztrátor meglátogat egy rosszindulatú weboldalt.
2. Bizonyos részletezett bemeneti adatok nincsenek megfelelően leellenőrizve, mielőtt a felhasználókat átirányítaná. Ezt kihasználva a felhasználó tetszőleges weboldalra irányítható át, egy a speciálisan szerkesztett linkkel ami egy megbízható domain-en keresztül érhető el.
3. Bizonyos nem részletezett bemeneti adatok nincsenek megfelelően leellenőrizve, a felhasználónak történő visszaadás előtt. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
4. Egy nem részletezett hiba kihasználásával bizonyos adatok szerkeszthetővé vagy törölhetővé válnak. Jelenleg nem áll rendelkezésre több információ a hibáról.

A sérülékenységeket a Windows alatt futó 9.0.0-ás verziókban jelentették.

Megoldás

Támadás típusa

Szükséges hozzáférés

Hivatkozások

SECUNIA 49054
CVE-2012-2003 - NVD CVE-2012-2003
CVE-2012-2004 - NVD CVE-2012-2004
CVE-2012-2005 - NVD CVE-2012-2005
CVE-2012-2006 - NVD CVE-2012-2006
Gyártói referencia: h20000.www2.hp.com