HPE integrated Lights Out (iLO) sérülékenysége

CH azonosító

CH-13721

Angol cím

HPE integrated Lights Out (iLO) Input Validation Flaw Lets Remote Users Conduct Cross-Site Scripting Attacks

Felfedezés dátuma

2016.11.20.

Súlyosság

Közepes

Érintett rendszerek

HP

Érintett verziók

iLO3 1.88 korábbi verziói, illetve iLO4 2.44 korábbi verziói

Összefoglaló

A HPE iLO közepes kockázati besorolású sérülékenysége vált ismertté, amelynek kihasználása Cross-site scripting támadásokat tesz lehetővé távoli felhasználók számára. 

Leírás

A program nem megfelelően ellenőrzi a felhasználó által beírt HTML kódot. Ezt a hibát kihasználva a támadó tetszőleges kódot futtathat a célpont böngészőjében. A kód a sérülékenység miatt úgy tűnik, mintha a HPE integrated Light Out (iLO) biztonságos környezetében futna. Ennek eredményeképpen a támadó hozzá fog férni a célpont sütijeihez (a belépésre jogosítókhoz is), amennyiben az nemrég lépett be az oldalra, valamint a felhasználó nevében tevékenykedhet az oldalon.

Megoldás

A HP kiadott egy frissítést iLO3 (1.88) és iLO4 (2.44) verziókra, amely az alábbi hivatkozáson érhető el: https://h20564.www2.hpe.com/hpsc/doc/public/display?docId=emr_na-c05337025

Hivatkozások

Egyéb referencia: securitytracker.com


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2010-3765 – Mozilla Multiple Products RCE sérülékenysége
CVE-2013-3918 – Microsoft Windows Out-of-Bounds Write sérülékenysége
CVE-2025-27915 – Synacor Zimbra Collaboration Suite (ZCS) Cross-site Scripting sérülékenysége
CVE-2010-3962 – Microsoft Internet Explorer Uninitialized Memory Corruption sérülékenysége
CVE-2021-22555 – Linux Kernel Heap Out-of-Bounds Write sérülékenysége
CVE-2025-4008 – Smartbedded Meteobridge Command Injection sérülékenysége
CVE-2015-7755 – Juniper ScreenOS Improper Authentication sérülékenysége
CVE-2017-1000353 – Jenkins RCE sérülékenysége
CVE-2014-6278 – GNU Bash OS Command Injection sérülékenysége
Tovább a sérülékenységekhez »