L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de MicroFocus SiteScope

bulletin de vulnérabilité CVE-2012-3259 CVE-2012-3260 CVE-2012-3261

HP SiteScope : six vulnérabilités

Synthèse de la vulnérabilité

Un attaquant non authentifié peut employer plusieurs vulnérabilités de HP SiteScope, afin d'exécuter du code privilégié.
Produits concernés : SiteScope.
Gravité : 3/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : client intranet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 29/08/2012.
Références : BID-55269, BID-55273, c03489683, CERTA-2012-AVI-517, CVE-2012-3259, CVE-2012-3260, CVE-2012-3261, CVE-2012-3262, CVE-2012-3263, CVE-2012-3264, HPSBMU02815, SSRT100715, SSRT100717, SSRT100718, SSRT100719, SSRT100720, VIGILANCE-VUL-11903, ZDI-12-173, ZDI-12-174, ZDI-12-175, ZDI-12-176, ZDI-12-177, ZDI-12-178, ZDI-CAN-1461, ZDI-CAN-1463, ZDI-CAN-1464, ZDI-CAN-1465, ZDI-CAN-1472.

Description de la vulnérabilité

Six vulnérabilités ont été annoncées dans HP SiteScope.

Un attaquant non authentifié peut appeler la fonction SOAP getSiteScopeConfiguration(), afin d'obtenir le mot de passe de l'administrateur. [grav:3/4; ZDI-12-173]

Un attaquant non authentifié peut employer l'url UploadFilesHandler, afin d'uploader un script sur le serveur. [grav:3/4; BID-55273, ZDI-12-174]

Un attaquant non authentifié peut appeler la fonction SOAP create(), afin de créer un nouvel utilisateur. [grav:3/4; ZDI-12-175]

Un attaquant non authentifié peut appeler la fonction SOAP getFileInternal(), afin de lire la configuration, qui contient les mots de passe. [grav:3/4; ZDI-12-176]

Un attaquant non authentifié peut appeler la fonction SOAP loadFileContent(), afin de lire les fichiers de configuration, qui contiennent les mots de passe. [grav:3/4; ZDI-12-177]

Un attaquant non authentifié peut appeler la fonction SOAP update(), afin de changer le mot de passe de l'administrateur. [grav:3/4; ZDI-12-178]
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique 10957

HP SiteScope : deux vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer deux vulnérabilités de HP SiteScope, afin de lire un fichier ou de créer un utilisateur.
Produits concernés : SiteScope.
Gravité : 3/4.
Conséquences : accès/droits privilégié, lecture de données.
Provenance : client intranet.
Confiance : source unique (2/5).
Date création : 29/08/2011.
Références : BID-49345, VIGILANCE-VUL-10957.

Description de la vulnérabilité

Un utilisateur ne peut pas mener d'action administrative, car elles sont grisées dans l'interface de HP SiteScope. Cependant une requête directe sur la servlet permet d'y accéder. Cela conduit à deux vulnérabilités.

Un attaquant peut se connecter sous le compte integrationViewer, et employer un objet com.mercury.sitescope.ui.common.bean.tools.LogAnalysisToolBean, afin de lire un fichier. [grav:2/4]

Un attaquant peut se connecter sous le compte integrationViewer, et employer un objet UserInstancePreferences, afin de créer un utilisateur. [grav:3/4]
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2011-2400 CVE-2011-2401

HP SiteScope : deux vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer deux vulnérabilités de HP SiteScope, afin de provoquer un Cross Site Scripting, ou d'accéder à une session.
Produits concernés : SiteScope.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, accès/droits client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 28/07/2011.
Références : BID-48913, BID-48916, c02940969, CERTA-2011-AVI-427, CVE-2011-2400, CVE-2011-2401, HPSBMU02692, SSRT100581, VIGILANCE-VUL-10877.

Description de la vulnérabilité

Deux vulnérabilités ont été annoncées dans HP SiteScope.

Un attaquant peut provoquer un Cross Site Scripting, afin de faire exécuter du code JavaScript dans le navigateur web des utilisateurs. [grav:2/4; BID-48913, CERTA-2011-AVI-427, CVE-2011-2400]

Un attaquant peut forcer la valeur de la variable de session, afin d'accéder à un compte utilisateur. [grav:3/4; BID-48916, CVE-2011-2401]

Un attaquant peut donc employer deux vulnérabilités de HP SiteScope, afin de provoquer un Cross Site Scripting, ou d'accéder à une session.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2011-1726 CVE-2011-1727

HP SiteScope : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting ou injecter du code HTML dans HP SiteScope.
Produits concernés : SiteScope.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 22/04/2011.
Références : BID-47554, c02807712, CERTA-2011-AVI-257, CVE-2011-1726, CVE-2011-1727, HPSBMA02667, SSRT100464, VIGILANCE-VUL-10597.

Description de la vulnérabilité

Deux vulnérabilités ont été annoncées dans HP SiteScope.

Un attaquant peut provoquer un Cross Site Scripting. [grav:2/4; CERTA-2011-AVI-257, CVE-2011-1726]

Un attaquant peut injecter du code HTML. [grav:1/4; CVE-2011-1727]
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur MicroFocus SiteScope :