HP OpenView Performance Insight sendEmail.jsp XSS

medium Nessus プラグイン ID 55831
New! Vulnerability Priority Rating (VPR)

Tenable では、すべての脆弱性に対して動的な VPR が計算されます。VPR は脆弱性の情報を、脅威インテリジェンスや機械学習アルゴリズムと組み合わせて、攻撃時に最も悪用される可能性の高い脆弱性を予測します。詳細は、 「VPR とは何で、CVSS とはどう違うのか」を参照してください。

VPR スコア : 3


A web application running on the remote host has a cross-site scripting vulnerability.


The version of HP OpenView Performance Insight running on the remote host has a reflected cross-site scripting vulnerability. Input to the 'bgcolor' parameter of sendEmail.jsp is not properly sanitized. A remote attacker could exploit this by tricking a user into requesting a maliciously crafted URL, resulting in arbitrary script code execution.

This software has several other cross-site scripting vulnerabilities and an arbitrary code execution vulnerability, though Nessus has not checked for those issues.


Apply the HP OpenView Performance Insight hotfix referenced in the vendor's advisory.





深刻度: Medium

ID: 55831

ファイル名: hp_openview_perf_insight_sendemail_xss.nasl

バージョン: 1.11

タイプ: remote

ファミリー: CGI abuses : XSS

公開日: 2011/8/12

更新日: 2021/1/19

依存関係: hp_openview_perf_insight_detect.nasl


リスクファクター: Medium

VPR スコア: 3

CVSS v2.0

Base Score: 4.3

Temporal Score: 3.7

ベクトル: AV:N/AC:M/Au:N/C:N/I:P/A:N

現状ベクトル: E:H/RL:OF/RC:C


CPE: cpe:/a:hp:openview_performance_insight

必要な KB アイテム: www/hp_ovpi

除外される KB アイテム: Settings/disable_cgi_scanning

エクスプロイトの容易さ: No exploit is required

パッチ公開日: 2011/8/8

脆弱性公開日: 2011/8/8


CVE: CVE-2011-2410

BID: 49184

TRA: TRA-2011-06

CWE: 20, 74, 79, 442, 629, 711, 712, 722, 725, 750, 751, 800, 801, 809, 811, 864, 900, 928, 931, 990