HP SiteScope跨站脚本和会话固定漏洞

漏洞起因
输入验证错误
危险等级
低

影响系统
HP SiteScope 9.54
HP SiteScope 9.0 build 911
HP SiteScope 7.5
HP SiteScope 11.10
HP SiteScope 11.1
HP SiteScope 11.09
HP SiteScope 11.01
HP SiteScope 10.14
HP SiteScope 10.13

不受影响系统

危害
远程攻击者可利用此漏洞获得敏感信息或劫持用户会话。

攻击所需条件
攻击者必须访问HP SiteScope。

漏洞信息
HP SiteScope是一种为确保分布式IT基础部件的可用性和性能的无代理的监视解决方案。
HP SiteScope存在安全漏洞，允许攻击者进行跨站脚本和会话固定攻击。
1）部分输入在返回用户之前缺少过滤，攻击者可以利用漏洞进行跨站脚本攻击，可获得敏感信息或者劫持用户会话。
2）处理会话存在一个错误，攻击者可以劫持会话借此以其他用户安全上下文登录应用系统。

测试方法

厂商解决方案
用户可参考如下供应商提供的安全公告获得补丁信息：
http://h20566.www2.hp.com/portal/site/hpsc/public/kb/docDisplay/?docId=emr_na-c02940969

漏洞提供者
HP

← HP Network Automation CVE-2011-2403 SQL注入漏洞

HP Network Automation CVE-2011-2402跨站脚本漏洞 →

ZeroBox Vulnerability Database

坚持！我们将做的更好！

HP SiteScope跨站脚本和会话固定漏洞

0 条评论。

发表评论