HP OpenView Performance Insight sendEmail.jsp XSS

medium Nessus プラグイン ID 55831
New! Vulnerability Priority Rating (VPR)

Tenable では、すべての脆弱性に対して動的な VPR が計算されます。VPR は脆弱性の情報を、脅威インテリジェンスや機械学習アルゴリズムと組み合わせて、攻撃時に最も悪用される可能性の高い脆弱性を予測します。詳細は、 「VPR とは何で、CVSS とはどう違うのか」を参照してください。

VPR スコア : 3

概要

A web application running on the remote host has a cross-site scripting vulnerability.

説明

The version of HP OpenView Performance Insight running on the remote host has a reflected cross-site scripting vulnerability. Input to the 'bgcolor' parameter of sendEmail.jsp is not properly sanitized. A remote attacker could exploit this by tricking a user into requesting a maliciously crafted URL, resulting in arbitrary script code execution.

This software has several other cross-site scripting vulnerabilities and an arbitrary code execution vulnerability, though Nessus has not checked for those issues.

ソリューション

Apply the HP OpenView Performance Insight hotfix referenced in the vendor's advisory.

関連情報

https://www.tenable.com/security/research/tra-2011-06

http://www.nessus.org/u?6e8efa18

プラグインの詳細

深刻度: Medium

ID: 55831

ファイル名: hp_openview_perf_insight_sendemail_xss.nasl

バージョン: 1.11

タイプ: remote

ファミリー: CGI abuses : XSS

公開日: 2011/8/12

更新日: 2021/1/19

依存関係: hp_openview_perf_insight_detect.nasl

リスク情報

リスクファクター: Medium

VPR スコア: 3

CVSS v2.0

Base Score: 4.3

Temporal Score: 3.7

ベクトル: AV:N/AC:M/Au:N/C:N/I:P/A:N

現状ベクトル: E:H/RL:OF/RC:C

脆弱性の情報

CPE: cpe:/a:hp:openview_performance_insight

必要な KB アイテム: www/hp_ovpi

除外される KB アイテム: Settings/disable_cgi_scanning

エクスプロイトの容易さ: No exploit is required

パッチ公開日: 2011/8/8

脆弱性公開日: 2011/8/8

参照情報

CVE: CVE-2011-2410

BID: 49184

TRA: TRA-2011-06

CWE: 20, 74, 79, 442, 629, 711, 712, 722, 725, 750, 751, 800, 801, 809, 811, 864, 900, 928, 931, 990