CVE(CAN) ID: CVE-2009-2897,CVE-2009-2898
Hyperic HQ是一个开源的IT资源管理平台。
Hyperic HQ没有正确地验证提交给mastheadAttach.do的typeId参数、Resource.do的eid参数以及admin/user /UserAdmin.do的u参数便返回给了用户,这可能导致反射式跨站脚本攻击;此外由于没有正确地过滤传送给Description参数的输入便在警告列表中返回给了用户,这可能导致存储式跨站脚本攻击。
SpringSource Hyperic HQ 4.2-beta1
SpringSource Hyperic HQ 4.1
SpringSource Hyperic HQ 4.0
SpringSource Hyperic HQ 3.2
厂商补丁:
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: