Множественные уязвимости в HP Insight Diagnostics

Дата публикации:
13.06.2013
Дата изменения:
13.06.2013
Всего просмотров:
917
Опасность:
Средняя
Наличие исправления:
Нет
Количество уязвимостей:
3
CVSSv2 рейтинг:
(AV:A/AC:M/Au:S/C:C/I:C/A:C/E:U/RL:U/RC:UC) = Base:7.4/Temporal:5.7
(AV:A/AC:M/Au:S/C:C/I:C/A:C/E:U/RL:U/RC:UC) = Base:7.4/Temporal:5.7
(AV:A/AC:M/Au:S/C:C/I:C/A:C/E:U/RL:U/RC:UC) = Base:7.4/Temporal:5.7
CVE ID:
CVE-2013-3573
CVE-2013-3574
CVE-2013-3575
Вектор эксплуатации:
Локальная сеть
Воздействие:
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
HP Insight Diagnostics 9.х
Уязвимые версии: HP Insight Diagnostics 9.4.0.4710, возможно более ранние версии

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.

1. Уязвимость существует из-за неизвестной ошибки. Удаленный пользователь может выполнить произвольный код на сервере с привилегиями администратора.

2. Уязвимость существует из-за ошибки в параметре "devicePath" (в более поздних версиях "mount"), в результате которой удаленный пользователь может внести произвольные изменения в файл, расположенный в произвольном каталоге. Удаленный пользователь может выполнить произвольный код на сервере с привилегиями администратора.

3. Уязвимость существует из-за недостаточной обработки входных данных в ".html" в каталоге "/hpdiags/frontend2/help/". Удаленный пользователь может с помощью специально сформированного запроса, содержащего символы обхода каталога, просмотреть содержимое произвольных файлов на системе. Удаленный пользователь может выполнить произвольный код на сервере с привилегиями администратора.

Примечание: Для успешной эксплуатации этих уязвимостей требуется, чтобы нападающий был аутентифицирован.

URL производителя: http://h20000.www2.hp.com/bizsupport/TechSupport/Home.jsp?lang=en&cc=us&prodTypeId=18964&prodSeriesId=460016

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: http://www.kb.cert.org/vuls/id/324668

или введите имя

CAPTCHA