HP LaserJet nyomtatók és digitális küldők XSS sérülékenységei

CH azonosító

Felfedezés dátuma

Súlyosság

Érintett rendszerek

Érintett verziók

Hewlett Packard (HP) LaserJet 4240, 4250, 4340, 4345, 4350
Hewlett Packard (HP) LaserJet 2410, 2420, 2430
Hewlett Packard (HP) Color LaserJet CP3505, CP4005, CP6015
Hewlett Packard (HP) Color LaserJet 6040 MFP
Hewlett Packard (HP) Color LaserJet 3000, 3600, 3800
Hewlett Packard (HP) Color LaserJet 4700, 4730
Hewlett Packard (HP) CM8050/8060 MFP
Hewlett Packard (HP) Digital Sender 9200c, DS9250c
Hewlett Packard (HP) LaserJet 9040, 9050 MFP
Hewlett Packard (HP) LaserJet M5025, M5035 MFP
Hewlett Packard (HP) LaserJet M3027, M3035 MFP
Hewlett Packard (HP) LaserJet P3005
Hewlett Packard (HP) LaserJet P4014, P4015, P4515
Hewlett Packard (HP) LaserJet 5200
Hewlett Packard (HP) LaserJet M4345x MFP
Hewlett Packard (HP) LaserJet M9040, M9050 MFP

Összefoglaló

A HP LaserJet és a HP Color LaserJet nyomtatók, valamint a HP digitális küldők sérülékenységeit jelentették, melyeket a támadók kihasználhatnak cross-site scripting (XSS) támadásokra.

Leírás

A HP LaserJet és a HP Color LaserJet nyomtatók, valamint a HP digitális küldők sérülékenységeit jelentették, melyeket a támadók kihasználhatnak cross-site scripting (XSS) támadásokra.

A “Product_URL” és a “Tech_URL” paramétereken keresztül a support_param.html/config-nak átadott bemeentek felhasználás előtti ellenőrzése nem megfelelő. Ez kihasználható tetszőleges HTML és script kód beszúrására, amelyek akkor kerülnek lefuttatásra, amikor a felhasználó az érintett oldalon böngészik és a káros adatok visszaadásra kerülnek.

Tekintse meg a forgalmazó tanácsában az érintett termékek és verziók teljes listáját!

Megoldás

Szűrje ki a káros karaktereket és karaktersorozatokat webproxyval!

Tekintse meg a forgalmazó tanácsában a javasolt megoldásokat!

Támadás típusa

Szükséges hozzáférés

Hivatkozások

SECUNIA 36969
Egyéb referencia: dsecrg.com
CVE-2009-2684 - NVD CVE-2009-2684
Gyártói referencia: h20000.www2.hp.com