CH azonosító
CH-5288Angol cím
HP Network Automation Cross-Site Scripting and SQL Injection VulnerabilitiesFelfedezés dátuma
2011.07.28.Súlyosság
AlacsonyÉrintett rendszerek
Hewlett Packard (HP)Network Automation
Érintett verziók
HP Network Automation 7.2x, 7.5x, 7.6x, 9.0, 9.10
Összefoglaló
A HP Network Automation olyan sérülékenységei váltak ismertté, amelyeket kihasználva a rosszindulatú felhasználók SQL befecskendezéses támadást indíthatnak, valamint a támadók cross-site scripting (XSS) támadásokat kezdeményezhetnek.
Leírás
- Bizonyos nem részletezett bemenet nincs megfelelően ellenőrizve, mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngésző munkamenetében, az érintett oldallal kapcsolatosan.
- Bizonyos nem részletezett bemenet nincs megfelelően ellenőrizve, mielőtt SQL lekérdezésekben használnák. Ez kihasználható az SQL lekérdezések módosítására tetszőleges kód befecskendezésével.
Megoldás
Frissítsen a 9.10. verzióra és telepítse az 1. vagy egy későbbi javítást!
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: h20566.www2.hp.com
SECUNIA 45454
CVE-2011-2402 - NVD CVE-2011-2402
CVE-2011-2403 - NVD CVE-2011-2403