Érintett rendszerek
Hewlett Packard (HP)Insight Software Integrated Installer
Érintett verziók
HP Insight Software Integrated Installer 6.x
Összefoglaló
A HP Insight Software Integrated Installer két olyan sérülékenységét jelentették, amelyet a rosszindulatú helyi felhasználók kihasználva hozzáférhetnek bizonyos adatokhoz és a támadók cross-site kérés hamisítás (CSFR/XSFR – cross-site request forgery) támadásokat indíthatnak.
Leírás
- Egy meghatározatlan hibát kihasználva hozzáférés lehetséges bizonyos adatokhoz. Bővebb információ jelenleg nem áll rendelkezésre.
- Az alkalmazás lehetővé tesz bizonyos műveleteket HTTP kéréseken keresztül, a kérések ellenőrzése nélkül. Ezt kihasználva egy meghatározatlan műveletet lehet végrehajtani, egy bejelentkezett felhasználó esetén.
A sérülékenységeket a 6.1 verziónál korábbi változatokban jelentették.
Megoldás
Frissítsen a 6.1 vagy újabb verzióra.
Támadás típusa
Input manipulation (Bemenet módosítás)Unknown (Ismeretlen)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: itrc.hp.com
SECUNIA 40544
CVE-2010-1967 - NVD CVE-2010-1967
CVE-2010-1968 - NVD CVE-2010-1968