HP Power Manager < 4.2.10
critical Nessus 插件 ID 44109
语言:
简介
远程主机上安装的电源管理应用程序存在多个漏洞。描述
安装的 HP Power Manager 版本低于 4.2.10,且因此受到下列漏洞影响:- 未对登录页面的“Login”参数执行充分的边界检查,其可导致一个缓冲区溢出。未经认证的远程攻击者可利用此漏洞以 SYSTEM 身份执行任意代码。(CVE-2009-2685) - 未对“formExportDataLogs”的“fileName”或“LogType”参数执行充分的边界检查,其可导致一个缓冲区溢出。经认证的远程攻击者可利用此漏洞以 SYSTEM 身份执行任意代码。(CVE-2009-3999) -“formExportDataLogs”的“fileName”参数存在一个目录遍历漏洞。经认证的远程攻击者可利用此漏洞以几乎任意数据覆盖任意文件。此漏洞可导致拒绝服务或以 SYSTEM 权限执行任意代码。(CVE-2009-4000)解决方案
升级到 HP Power Manager 4.2.10 或更高版本。另见
https://www.zerodayinitiative.com/advisories/ZDI-09-081/
https://secuniaresearch.flexerasoftware.com/secunia_research/2009-47/
http://www.nessus.org/u?cd91a469
插件详情
严重性: Critical
ID: 44109
文件名: hp_power_mgr_4_2_10.nasl
版本: 1.15
类型: remote
系列: CGI abuses
发布时间: 2010/1/21
最近更新时间: 2021/1/19
支持的传感器: Nessus
风险信息
VPR
风险因素: High
分数: 7.4
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 8.3
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
漏洞信息
CPE: cpe:/a:hp:power_manager
必需的 KB 项: www/hp_power_mgr
可利用: true
易利用性: Exploits are available
补丁发布日期: 2010/1/19
漏洞发布日期: 2009/11/5
可利用的方式
CANVAS (D2ExploitPack)
Core Impact
Metasploit (HP Power Manager "formExportDataLogs" Buffer Overflow)