lunes, 25 de agosto de 2014

Diversas vulnerabilidades en HP Service Manager

Se han anunciado cuatro vulnerabilidades en HP Service Manager (versiones v7.21, v9.21, v9.30, v9.31, v9.32 y v9.33) que podrían permitir a atacantes remotos conseguir elevar sus privilegios, modificar datos, provocar denegaciones de servicio y construir ataques de Cross-Site Scripting y Cross-Site Request Forgery.

HP Service Manager es la solución de HP para la gestión de servicios de tecnologías de la información que permite implementar los procesos necesarios para cada área de la organización. Tiene la capacidad de manejar y automatizar los servicios y cumplir con el estándar ITILv3.

El primero de los problemas, reside en que el cliente Mobility Web Client y en SRC (Service Request Catalog) debido a que no filtran adecuadamente el código hrml introducido por el usuario antes de mostrarlo (CVE-2013-6222). Esto podría permitir a un usuario remoto construir ataques de cross-site scripting.

Otro problema se presenta en WebTier y podría permitir a un atacante remoto elevar sus privilegios (CVE-2014-2632). Una vulnerabilidad de Cross-Site Request Forgery (CSRF) en Service Manager Server (CVE-2014-2633). Una última vulnerabilidad podría permitir a un atacante remoto conseguir acceder al servidor Service Manager para modificar datos o provocar denegaciones de servicio (CVE-2014-2634).

HP ha publicado actualizaciones par alas distintas plaformas afectadas, disponibles desde:

Más información:

HPSBMU03079 rev.1 - HP Service Manager, Multiple Vulnerabilities



Antonio Ropero
Twitter: @aropero


No hay comentarios:

Publicar un comentario en la entrada