HP Insight Management Agents sérülékenységek

CH azonosító

CH-6788

Angol cím

HP Insight Management Agents Multiple Vulnerabilities

Felfedezés dátuma

2012.05.01.

Súlyosság

Alacsony

Érintett rendszerek

Hewlett Packard (HP)
Insight Management Agent

Érintett verziók

HP / Compaq Insight Management Agents

Összefoglaló

A HP Insight Management Agents több sérülékenységét jelentették, amelyeket kihasználva a felhasználók módosíthatnak bizonyos adatokat,  szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő, illetve támadók hamisításos, cross-site scripting (XSS/CSS) és cross-site request forgery típusú (XSRF/CSRF) támadásokat indíthatnak.

Leírás

  1. A program engedélyezi a felhasználónak bizonyos műveletek végrehajtását HTTP kérések útján, anélkül, hogy ellenőrizné a kérés hitelességét. Ezt kihasználva, nem részletezett műveleteket lehet végrehajtani, ha egy bejelentkezett adminisztrátor meglátogat egy rosszindulatú weboldalt.
  2. Bizonyos részletezett bemeneti adatok nincsenek megfelelően leellenőrizve, mielőtt a felhasználókat átirányítaná. Ezt kihasználva a felhasználó tetszőleges weboldalra irányítható át, egy a speciálisan szerkesztett linkkel ami egy megbízható domain-en keresztül érhető el.
  3. Bizonyos nem részletezett bemeneti adatok nincsenek megfelelően leellenőrizve, a felhasználónak történő visszaadás előtt. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
  4. Egy nem részletezett hiba kihasználásával bizonyos adatok szerkeszthetővé vagy törölhetővé válnak. Jelenleg nem áll rendelkezésre több információ a hibáról.

A sérülékenységeket a Windows alatt futó 9.0.0-ás verziókban jelentették.

Megoldás

Frissítsen a legújabb verzióra