Hyperic HQ跨站脚本和脚本注入漏洞
来源:岁月联盟
时间:2009-10-14
SpringSource Hyperic HQ 4.2-beta1
SpringSource Hyperic HQ 4.1
SpringSource Hyperic HQ 4.0
SpringSource Hyperic HQ 3.2漏洞描述:
CVE(CAN) ID: CVE-2009-2897,CVE-2009-2898
Hyperic HQ是一个开源的IT资源管理平台。
Hyperic HQ没有正确地验证提交给mastheadAttach.do的typeId参数、Resource.do的eid参数以及admin/user /UserAdmin.do的u参数便返回给了用户,这可能导致反射式跨站脚本安全;此外由于没有正确地过滤传送给Description参数的输入便在警告列表中返回给了用户,这可能导致存储式跨站脚本安全。<*参考
http://secunia.com/advisories/36935/
http://marc.info/?l=bugtraq&m=125475819403773&w=2
http://marc.info/?l=bugtraq&m=125475878904815&w=2
*>
SEBUG安全建议:
厂商补丁:
SpringSource
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.springsource.com/security/hyperic-hq
