Межсайтовый скриптинг в Hyperic HQ

Дата публикации:
29.10.2009
Дата изменения:
29.10.2009
Всего просмотров:
1209
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2009-2897
CVE-2009-2898
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Hyperic HQ Open Source 3.x
Hyperic HQ Open Source 4.x
SpringSource AMS 2.x
SpringSource tc Server 6.x
Уязвимые версии:
Hyperic HQ Open Source 3.2, возможно другие версии
Hyperic HQ Open Source 4.0, 4.1, 4.2-beta1, возможно другие версии
SpringSource AMS 2.0.0.SR3, возможно другие версии
SpringSource tc Server 6.0.20.B, возможно другие версии

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение.

1. Уязвимость существует из-за недостаточной обработки входных данных в параметре "typeId" в сценарии mastheadAttach.do, в параметре "eid" в сценарии Resource.do, и в параметре "u" в сценарии admin/user/UserAdmin.do перед возвращением данных пользователю в качестве обработчика исключений в сценарии hq/web/common/GenericError.jsp. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

2. Уязвимость существует из-за недостаточной обработки входных данных в параметре "Description". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

URL производителя: www.springsource.com

Решение: Установите исправление с сайта производителя.
Hyperic HQ 3.2:
Установите версию 3.2.6 и примените исправление.
http://download.hyperic.com/dl/patch/hq.jar.3.2.6.1.zip

Hyperic HQ 4.0:
Установите версию 4.0.3 и примените исправление.
http://download.hyperic.com/dl/patch/hq.jar.4.0.3.1.zip

Hyperic HQ 4.1:
Установите версию 4.1.2 и примените исправление.
http://download.hyperic.com/dl/patch/hq.jar.4.1.2.1.zip

Hyperic HQ 4.2-beta1:
Установите версию Hyperic HQ 4.2-beta2 или выше.

AMS 2.0.0.SR3:
Установите версию 2.0.0.SR4.

tc Server 6.0.20.B
Установите версию AMS 2.0.0.SR.

Ссылки: http://www.springsource.com/security/hyperic-hq
http://www.coresecurity.com/content/hyperic-hq-vulnerabilities

или введите имя

CAPTCHA