Hyperic HQ Enterprise sérülékenységek


2011. november 10. 09:59

CH azonosító

CH-5930

Angol cím

Hyperic HQ Enterprise Multiple Vulnerabilities

Felfedezés dátuma

2011.11.09.

Súlyosság

Alacsony

Érintett rendszerek

Hyperic HQ Enterprise
SpringSource

Érintett verziók

Hyperic HQ Enterprise 4.x

Összefoglaló

A Hyperic HQ Enterprise olyan sérülékenységei váltak ismertté, amelyet a rosszindulatú felhasználók kihasználhatnak script beszúrás támadások kezdeményezésére, valamint a támadók cross-site scripting (XSS/CSS) és cross-site request forgery (XSRF/CSRF) támadások kezdeményezésére.

Leírás

  1. Az admin/config/Config.do-nak az “escId” paraméterrel átadott bemenet (amikor “mode” értéke “escalate”) nincs megfelelően ellenőrizve, mielőtt visszakerül a felhasználóhoz. Ez kihasználható az érintett oldal felhasználói böngésző munkamenetében történő tetszőleges HTML és script kód futtatására.
  2.  A Hyperic Agent-től származó bizonyos nem részletezett bemenet nincs megfelelően ellenőrizve az adminisztráció alatt a szerep listában és a HQ Health nézetben, egy meghatározott host monitor nézetében, az erőforrások alatt az alkalmazás nézetben, valamint az éppen bejelentkezett felhasználó alapvető tulajdonságok nézetében, mielőtt a felhasználó részére megjelenítésre kerülne. Ez kihasználható az érintett oldal felhasználói böngésző munkamenetében történő tetszőleges HTML és script kód futtatására, amikor a rosszindulatú adat megtekintésre kerül.
  3. Az alkalmazás lehetővé teszi a felhasználóknak bizonyos műveletek elvégzését HTTP kérések segítségével anélkül, hogy ellenőrizné azok érvényességét. Ez kihasználható az adminisztrátori jelszó megváltoztatására, amennyiben egy bejelentkezett adminisztrátor meglátogat egy rosszindulatú weboldalt.

A sérülékenységeket a 4.5.1. verzióban ismerték fel, de más verziók is érintettek lehetnek.

Megoldás

Szűrje a rosszindulatú karaktereket és karakter sorozatokat egy proxy segítségével! Kizárólag megbízható weboldalakat látogasson és megbízható hivatkozásokat kövessen, amikor be van jelentkezve az alkalmazásba!

Támadás típusa

Input manipulation (Bemenet módosítás)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

SECUNIA 46653
Egyéb referencia: www.vulnerability-lab.com

Legfrissebb sérülékenységek
CVE-2026-1731 – BeyondTrust Remote Support (RS) and Privileged Remote Access (PRA) OS Command Injection sérülékenység
CVE-2026-2441 – Google Chrome use-after-free sérülékenysége
CVE-2025-40536 – SolarWinds Web Help Desk Security Control Bypass sérülékenység
CVE-2025-15556 – Notepad++ Download of Code Without Integrity Check sérülékenység
CVE-2024-43468 – Microsoft Configuration Manager SQL Injection sérülékenység
CVE-2026-20700 – Apple Multiple Buffer Overflow sebezhetőség
CVE-2026-21514 – Microsoft Office Word Reliance on Untrusted Inputs in a Security Decision sérülékenység
CVE-2026-21519 – Microsoft Windows Type Confusion sérülékenység
CVE-2026-21533 – Microsoft Windows Improper Privilege Management sérülékenység
CVE-2026-21510 – Microsoft Windows Shell Protection Mechanism Failure sérülékenység
Tovább a sérülékenységekhez »