JVN#19240523
HP System Management Homepage におけるクロスサイトスクリプティングの脆弱性
Hewlett-Packard が提供する HP System Management Homepage (SMH) には、クロスサイトスクリプティングの脆弱性が存在します。
以下の製品の Windows 版および Linux 版:
- P System Management Homepage (SMH) バージョン 2.1.2 より前の全バージョン
HP-UX 版の SMH および SMH バージョン 2.1.2 および上位バージョンには、本脆弱性は存在しません。
Hewlett-Packard が提供する HP System Management Homepage (SMH) は、ウェブブラウザからシステム管理を行うことができる、HP サーバ用のソフトウェアです。SMH には、クロスサイトスクリプティングの脆弱性が存在
します。
なお SMH の旧製品にあたる Compaq System Management Homepage においても、同様のクロスサイトスクリプティングの脆弱性が存在することが確認されています。
開発者の情報によると、Compaq System Management Homepage は現在提供されていない旧製品であるため、この製品をお使いの場合、SMH へアップグレードすることが推奨されています。詳しくは開発者が提供する情報をご確認下さい。
ユーザのブラウザ上で任意のスクリプトを実行される可能性があります。
アップデートする
開発者が提供している情報をもとに最新版のプログラムにアップデートしてください。
本製品の旧製品である Compaq System Management System をお使いの場合、SMH へアップグレードすることが推奨されています。詳しくは開発者が提供する情報をご確認下さい。
-
IPA
「HP System Management Homepage」におけるクロスサイト・スクリプティングの脆弱性 -
US-CERT Vulnerability Note VU#292457
HP System Management Homepage cross-site scripting vulnerability
2007.06.01における脆弱性分析結果
| 評価尺度 | 攻撃成立条件 | 評価値 |
|---|---|---|
| 攻撃経路 | インターネット経由からの攻撃が可能 |
|
| 認証レベル | 匿名もしくは認証なしで攻撃が可能 |
|
| 攻撃成立に必要なユーザーの関与 | リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される |
|
| 攻撃の難易度 | 専門知識や運がなくとも攻撃可能 |
|
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC がベンダとの調整を行いました。報告者:NTTデータ・セキュリティ株式会社 辻 伸弘 氏 岡田 潤 氏
| JPCERT 緊急報告 | |
| JPCERT REPORT |
JPCERT-WR-2007-2101 JPCERT/CC REPORT 2007-06-06 |
| CERT Advisory | |
| CPNI Advisory | |
| TRnotes | |
| CVE | |
| JVN iPedia |
- 2007/06/06
- 参考情報: US-CERT へのリンクを追加しました。
- 2007/06/06
- 参考情報: US-CERT へのリンクを追加しました。JPCERT REPORT へのリンクを追加しました。
- 2007/06/06
- 参考情報: US-CERT へのリンクを追加しました。JPCERT REPORT へのリンクを追加しました。
- 2007/06/06
- 参考情報: US-CERT へのリンクを追加しました。JPCERT REPORT へのリンクを追加しました。
- 2007/06/06
- 参考情報: US-CERT へのリンクを追加しました。JPCERT REPORT へのリンクを追加しました。
- 2007/06/06
- 参考情報: US-CERT へのリンクを追加しました。JPCERT REPORT へのリンクを追加しました。
- 2007/06/06
- 参考情報: US-CERT へのリンクを追加しました。 JPCERT REPORT へのリンクを追加しました。
- 2007/06/06
- 参考情報: US-CERT へのリンクを追加しました。 JPCERT REPORT へのリンクを追加しました。
