HPE integrated Lights Out (iLO) sérülékenysége

CH azonosító

CH-13721

Angol cím

HPE integrated Lights Out (iLO) Input Validation Flaw Lets Remote Users Conduct Cross-Site Scripting Attacks

Felfedezés dátuma

2016.11.20.

Súlyosság

Közepes

Érintett rendszerek

HP

Érintett verziók

iLO3 1.88 korábbi verziói, illetve iLO4 2.44 korábbi verziói

Összefoglaló

A HPE iLO közepes kockázati besorolású sérülékenysége vált ismertté, amelynek kihasználása Cross-site scripting támadásokat tesz lehetővé távoli felhasználók számára. 

Leírás

A program nem megfelelően ellenőrzi a felhasználó által beírt HTML kódot. Ezt a hibát kihasználva a támadó tetszőleges kódot futtathat a célpont böngészőjében. A kód a sérülékenység miatt úgy tűnik, mintha a HPE integrated Light Out (iLO) biztonságos környezetében futna. Ennek eredményeképpen a támadó hozzá fog férni a célpont sütijeihez (a belépésre jogosítókhoz is), amennyiben az nemrég lépett be az oldalra, valamint a felhasználó nevében tevékenykedhet az oldalon.

Megoldás

A HP kiadott egy frissítést iLO3 (1.88) és iLO4 (2.44) verziókra, amely az alábbi hivatkozáson érhető el: https://h20564.www2.hpe.com/hpsc/doc/public/display?docId=emr_na-c05337025

Hivatkozások

Egyéb referencia: securitytracker.com