HPE integrated Lights Out (iLO) sérülékenysége

CH azonosító

CH-13721

Angol cím

HPE integrated Lights Out (iLO) Input Validation Flaw Lets Remote Users Conduct Cross-Site Scripting Attacks

Felfedezés dátuma

2016.11.20.

Súlyosság

Közepes

Érintett rendszerek

HP

Érintett verziók

iLO3 1.88 korábbi verziói, illetve iLO4 2.44 korábbi verziói

Összefoglaló

A HPE iLO közepes kockázati besorolású sérülékenysége vált ismertté, amelynek kihasználása Cross-site scripting támadásokat tesz lehetővé távoli felhasználók számára. 

Leírás

A program nem megfelelően ellenőrzi a felhasználó által beírt HTML kódot. Ezt a hibát kihasználva a támadó tetszőleges kódot futtathat a célpont böngészőjében. A kód a sérülékenység miatt úgy tűnik, mintha a HPE integrated Light Out (iLO) biztonságos környezetében futna. Ennek eredményeképpen a támadó hozzá fog férni a célpont sütijeihez (a belépésre jogosítókhoz is), amennyiben az nemrég lépett be az oldalra, valamint a felhasználó nevében tevékenykedhet az oldalon.

Megoldás

A HP kiadott egy frissítést iLO3 (1.88) és iLO4 (2.44) verziókra, amely az alábbi hivatkozáson érhető el: https://h20564.www2.hpe.com/hpsc/doc/public/display?docId=emr_na-c05337025

Hivatkozások

Egyéb referencia: securitytracker.com


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2023-41348 – ASUS RT-AX55 sérülékenysége
CVE-2023-41347 – ASUS RT-AX55 sérülékenysége
CVE-2023-41346 – ASUS RT-AX55 sérülékenysége
CVE-2023-41345 – ASUS RT-AX55 sérülékenysége
CVE-2023-39780 – ASUS RT-AX55 Routers OS Command Injection sérülékenysége
CVE-2025-35939 – Craft CMS External Control of Assumed-Immutable Web Parameter sérülékenysége
CVE-2025-3935 – ConnectWise ScreenConnect Improper Authentication sérülékenysége
CVE-2021-32030 – ASUS Routers Improper Authentication sérülékenysége
CVE-2025-33072 – Microsoft msagsfeedback.azurewebsites.net Information Disclosure sebezhetősége
Tovább a sérülékenységekhez »