多个SpringSource产品HTML注入漏洞

漏洞起因
输入验证错误
危险等级
低

影响系统
SpringSource tc Server 6.0.20 .B
SpringSource Hyperic HQ Open Source 0
SpringSource Hyperic HQ 4.1.2
SpringSource Hyperic HQ 4.0.3
SpringSource Hyperic HQ 4.2 pre-release
SpringSource Application Management Suite 2.0 .SR3

不受影响系统
SpringSource Hyperic HQ 4.1.2 .1
SpringSource Hyperic HQ 4.0.3 .2
SpringSource Hyperic HQ 4.2
SpringSource Application Management Suite 2.0 .SR4

危害
远程攻击者可以利用漏洞获得敏感信息或劫持会话。

攻击所需条件
攻击者必须访问Hyperic HQ。

漏洞信息
Hyperic HQ是一款开源的IT资源管理平台。
Hyperic HQ使用数据库中的数据直接用于生成HTML输出，这允许攻击者在多个输入字段输入恶意HMLT数据，当这些字段之后显示给用户时，恶意脚本代码在目标用户浏览器上执行。导致敏感信息泄漏或者劫持会话。

测试方法

厂商解决方案
用户可联系供应商获得最新版本的程序：
http://www.springsource.com/

漏洞提供者
Aaron Kulick of CBS Interactive

← Serv-U存在多个安全漏洞

Sun Connection Update Manager for Solaris临时文件建立漏洞 →

ZeroBox Vulnerability Database

坚持！我们将做的更好！

多个SpringSource产品HTML注入漏洞

0 条评论。

发表评论