HP Service Manager és Service Center sérülékenységek


2011. június 8. 12:25

CH azonosító

CH-5010

Angol cím

HP Service Manager and Service Center Multiple Vulnerabilities

Felfedezés dátuma

2011.06.07.

Súlyosság

Közepes

Érintett rendszerek

Hewlett Packard (HP)
Service Center
Service Manager

Érintett verziók

HP Service Center 6.x
HP Service Manager 7.x
HP Service Manager 9.x

Összefoglaló

A HP Service Manager és Service Center olyan sérülékenységeit jelentették, amelyeket a rosszindulatú helyi felhasználók kihasználva bizalmas adatokhoz férhetnek hozzá, a rosszindulatú felhasználók script beszúrásos (insertion) támadásokat indíthatnak és megkerülhetnek bizonyos biztonsági szabályokat, a támadók cross-site scripting (CSS/XSS) támadásokat hajthatnak végre, bizalmas adatokat szivárogtathatnak ki, a felhasználó munkamenetét eltérítheti és bizonyos biztonsági szabályokat kerülhetnek meg.

Leírás

  1. Bizonyos meghatározatlan hibát kihasználva a hitelesített felhasználók jogosulatlan hozzáférést szerezhetnek bizonyos adatokhoz.
  2. Egy meghatározatlan jogosultsági hibát kihasználva a helyi felhasználók hozzáférést szerezhetnek bizonyos információkhoz.
  3. Egy meghatározatlan hiba kihasználható bizalmas adatok kiszivárogtatására.
  4. A munkamenet azonosítók újrafelhasználásából eredő hibáját kihasználva egy felhasználó munkamenete eltéríthető.
  5. Egy meghatározatlan hibát kihasználva jogosulatlan hozzáférés szerezhető.
  6. Bizonyos meghatározatlan bemeneti adat nincs megfelelően ellenőrizve, mielőtt visszaadásra kerülne. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.
  7. Bizonyos meghatározatlan bemeneti adat nincs megfelelően ellenőrizve, mielőtt felhasználásra kerülne. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan, amikor a kártékony adat megtekintésre kerül.

A sérülékenységeket a következő termékekben jelentették:

  • HP Service Manager v9.21, v9.20, v7.11 és v7.02 AIX, HP-UX, Linux, Solaris és Windows változatok.
  • HP Service Manager client v9.21, v9.20, v7.11 és v7.02 Windows változatok.
  • HP Service Center client v6.2.8 Windows változatok.
  • HP Service Center v6.2.8 AIX, HP-UX, Linux, Solaris és Windows változatok.

Megoldás

Telepítse a javítócsomagokat

Támadás típusa

Input manipulation (Bemenet módosítás)
Other (Egyéb)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

SECUNIA 44836
CVE-2011-1857 - NVD CVE-2011-1857
CVE-2011-1858 - NVD CVE-2011-1858
CVE-2011-1859 - NVD CVE-2011-1859
CVE-2011-1860 - NVD CVE-2011-1860
CVE-2011-1861 - NVD CVE-2011-1861
CVE-2011-1862 - NVD CVE-2011-1862
CVE-2011-1863 - NVD CVE-2011-1863
Gyártói referencia: www.itrc.hp.com

Legfrissebb sérülékenységek
CVE-2024-10924 – Really Simple Security WordPress plugin authentication bypass sérülékenysége
CVE-2024-1212 – LoadMaster szoftver RCE (remote-code-execution) sérülékenysége
CVE-2024-38813 – VMware vCenter Server privilege escalation sérülékenysége
CVE-2024-38812 – VMware vCenter Server heap-based overflow sérülékenysége
CVE-2024-0012 – Palo Alto Networks PAN-OS software sérülékenysége
CVE-2024-9474 – Palo Alto Networks PAN-OS Management Interface sérülékenysége
CVE-2024-43093 – Android Framework Privilege Escalation sebezhetősége
CVE-2021-26086 – Atlassian Jira Server and Data Center Path Traversal sebezhetősége
CVE-2014-2120 – Cisco Adaptive Security Appliance (ASA) Cross-Site Scripting (XSS) sebezhetősége
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
Tovább a sérülékenységekhez »