Выполнение произвольных команд в OpenView Network Node Manager
- Дата публикации:
- 29.08.2005
- Дата изменения:
- 20.11.2008
- Всего просмотров:
- 2111
- Опасность:
- Средняя
- Наличие исправления:
- Да
- Количество уязвимостей:
- 1
- CVSSv2 рейтинг:
- CVE ID:
- Нет данных
- Вектор эксплуатации:
- Локальная сеть
- Воздействие:
- Компрометация системы
- CWE ID:
- Нет данных
- Наличие эксплоита:
- Нет данных
- Уязвимые продукты:
-
HP OpenView Network Node Manager (NNM) 6.x
HP OpenView Network Node Manager (NNM) 7.x
Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольные команды на целевой системе.
Уязвимость существует в сценариях 'connectedNodes.ovpl', cdpView.ovpl, freeIPaddrs.ovpl и ecscmg.ovpl из-за недостаточной обработки входных данных перед использованием их в качестве параметров системной команды. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольные команды на целевой системе с привилегиями web сервера. Пример:
http://[target]:3443/OvCgi/connectedNodes.ovpl?node=a| [your command] |
URL производителя: www.hp.com
Решение: Установите исправление с сайта производителя.
Ссылки:
Portcullis Security Advisory 05-014 HP Openview Remote Command
HP Security Bulletin HPSBMA01224 -- SSRT051023 rev.1 - HP OpenView Network Node Manager (OV NNM) Remote Unauthorized Privileged Access