HPE integrated Lights Out (iLO) sérülékenysége


2016. november 22. 12:05

CH azonosító

CH-13721

Angol cím

HPE integrated Lights Out (iLO) Input Validation Flaw Lets Remote Users Conduct Cross-Site Scripting Attacks

Felfedezés dátuma

2016.11.20.

Súlyosság

Közepes

Érintett rendszerek

HP

Érintett verziók

iLO3 1.88 korábbi verziói, illetve iLO4 2.44 korábbi verziói

Összefoglaló

A HPE iLO közepes kockázati besorolású sérülékenysége vált ismertté, amelynek kihasználása Cross-site scripting támadásokat tesz lehetővé távoli felhasználók számára. 

Leírás

A program nem megfelelően ellenőrzi a felhasználó által beírt HTML kódot. Ezt a hibát kihasználva a támadó tetszőleges kódot futtathat a célpont böngészőjében. A kód a sérülékenység miatt úgy tűnik, mintha a HPE integrated Light Out (iLO) biztonságos környezetében futna. Ennek eredményeképpen a támadó hozzá fog férni a célpont sütijeihez (a belépésre jogosítókhoz is), amennyiben az nemrég lépett be az oldalra, valamint a felhasználó nevében tevékenykedhet az oldalon.

Megoldás

A HP kiadott egy frissítést iLO3 (1.88) és iLO4 (2.44) verziókra, amely az alábbi hivatkozáson érhető el: https://h20564.www2.hpe.com/hpsc/doc/public/display?docId=emr_na-c05337025

Támadás típusa

Cross Site Scripting (XSS/CSS)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: securitytracker.com

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2024-12912 – ASUS Router AiCloud sérülékenysége
CVE-2025-58034 – Fortinet FortiWeb OS Command Injection sérülékenysége
CVE-2025-13224 – Google Chrome sérülékenysége
CVE-2025-13223 – Google Chromium V8 Type Confusion sérülékenysége
CVE-2025-24893 – XWiki Platform Eval Injection sérülékenysége
CVE-2025-25256 – Fortinet FortiSIEM sebezhetősége
CVE-2022-40684 – Fortinet Multiple Products Authentication Bypass sebezhetősége
CVE-2025-59367 – ASUS DSL Router sérülékenysége
CVE-2025-64446 – Fortinet FortiWeb Path Traversal sérülékenysége
Tovább a sérülékenységekhez »