CH azonosító
CH-13794Angol cím
HPE Systems Insight Manager Unspecified Flaws Let Remote and Local Users Deny Service and Remote Users Conduct Cross-Site Scripting AttacksFelfedezés dátuma
2016.12.18.Súlyosság
MagasÉrintett rendszerek
Hewlett Packard (HP)Systems Insight Manager (SIM)
Érintett verziók
HPE Systems Insight Manager (SIM) 7.6-t megelőző verziók
Összefoglaló
A HPE Systems Insight Manager (SIM) verzióinak többszörös sérülékenysége vált ismerté, melyeket kihasználva a támadó szolgáltatásmegtagadást (DoS) idézhet elő, tetszőleges kódot futtathat, Cross-Site Scripting (XSS), illetve Cross-Site Request Forgery (CSRF) támadást hajthat végre, vagy bizalmas információkat szerezhet meg.
Leírás
A program nem megfelelően ellenőrzi a felhasználó által kitöltött beviteli mezőket a HTML kódban, mielőtt megjelenítené azokat. A hibát kihasználva a támadó tetszőleges szkript kódot futtathat a felhasználó böngészőjében. Ennek eredményeképpen a támadó hozzáférhet a felhasználó sütijeihez (a belépésre jogosítókhoz is), illetve a felhasználó által nemrég beküldött adatokhoz is. Ezen túlmenően különböző tevékenységeket végezhet az oldalon a célfelhasználó nevében.
A sérülékenységeket kihasználva a helyi és távoli felhasználók szolgáltatásmegtagadást okozhatnak a rendszeren.
Megoldás
Frissítsen a 7.6-os verzióra.
Hivatkozások
Gyártói referencia: h20566.www2.hpe.com
Egyéb referencia: securitytracker.com
CVE-2016-8516 - NVD CVE-2016-8516
CVE-2016-8517 - NVD CVE-2016-8517
CVE-2016-8518 - NVD CVE-2016-8518