HP系统管理主页servercert参数跨站脚本漏洞

2010-01-29T00:00:00
ID SSV:19026
Type seebug
Reporter Root
Modified 2010-01-29T00:00:00

Description

BUGTRAQ ID: 37968

HP系统管理主页(SMH)是一个基于Web的界面,整合并简化了Windows、Lunux和HP-UX操作系统上对HP服务器的单系统管理过程。

HP SMH没有正确地过滤URI请求中的servercert参数,用户受骗跟随了恶意链接就可能导致跨站脚本攻击,在浏览器会话中注入并执行HTML和脚本代码。

HP System Management Homepage 3.0 HP System Management Homepage 2.1 厂商补丁:

HP

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://itrc.hp.com

                                        
                                            
                                                http://target-domain.foo/proxy/smhui/getuiinfo?JS&servercert=%0064e43<script>alert(1)</script>7b3f58a689f