HP Systems Insight Manager sérülékenységek

CH azonosító

Angol cím

Felfedezés dátuma

Súlyosság

Érintett rendszerek

Érintett verziók

HP Systems Insight Manager 6.x

Összefoglaló

A Systems Insight Manager olyan sérülékenységei váltak ismertté, amelyeket rosszindulatú felhasználók kihasználhatnak emelt szintű jogosultságok megszerzésére, valamint támadók cross-site scripting (XSS), cross-site request forgery (XSRF), vagy “click jacking” támadásokat kezdeményezhetnek vagy tetszőleges kódot futtathatnak a felhasználó rendszerén.

Leírás

1. Az alkalmazás lehetővé teszi, hogy a felhasználók HTTP kéréseken keresztül bizonyos műveleteket végezzenek el, a kérések érvényességi vizsgálata nélkül. Ez kihasználható egy nem részletezett művelet végrehajtására, ha a bejelentkezett felhasználó meglátogat egy rosszindulatú weboldalt.
2. Bizonyos nem részletezett bemenet nincs megfelelően ellenőrizve mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatosan.
3. Egy nem részletezett hiba kihasználható a hitelesített felhasználók jogosultságainak kiterjesztésére.

Megjegyzés: Ezeken kívül a mellékelt Adobe Flash több sérülékenységét is igazolták.
További részleteket ezzel kapcsolatban itt talál: CH-3465

A sérülékenységeket a HP-UX, Linux és Windows operációs rendszereken futó 6.2. előtti verziókban jelentették.

Megoldás

Támadás típusa

Hatás

Szükséges hozzáférés

Hivatkozások

Gyártói referencia: www.itrc.hp.com
Gyártói referencia: www.itrc.hp.com
CERT-Hungary CH-3465
SECUNIA 41908
SECUNIA 40907
CVE-2010-0209 - NVD CVE-2010-0209
CVE-2010-2213 - NVD CVE-2010-2213
CVE-2010-2214 - NVD CVE-2010-2214
CVE-2010-2215 - NVD CVE-2010-2215
CVE-2010-2216 - NVD CVE-2010-2216
CVE-2010-3288 - NVD CVE-2010-3288
CVE-2010-3289 - NVD CVE-2010-3289
CVE-2010-3290 - NVD CVE-2010-3290