L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de SiteScope

annonce de vulnérabilité informatique 10957

HP SiteScope : deux vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer deux vulnérabilités de HP SiteScope, afin de lire un fichier ou de créer un utilisateur.
Produits concernés : SiteScope.
Gravité : 3/4.
Conséquences : accès/droits privilégié, lecture de données.
Provenance : client intranet.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 29/08/2011.
Références : BID-49345, VIGILANCE-VUL-10957.

Description de la vulnérabilité

Un utilisateur ne peut pas mener d'action administrative, car elles sont grisées dans l'interface de HP SiteScope. Cependant une requête directe sur la servlet permet d'y accéder. Cela conduit à deux vulnérabilités.

Un attaquant peut se connecter sous le compte integrationViewer, et employer un objet com.mercury.sitescope.ui.common.bean.tools.LogAnalysisToolBean, afin de lire un fichier. [grav:2/4]

Un attaquant peut se connecter sous le compte integrationViewer, et employer un objet UserInstancePreferences, afin de créer un utilisateur. [grav:3/4]
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2011-2400 CVE-2011-2401

HP SiteScope : deux vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer deux vulnérabilités de HP SiteScope, afin de provoquer un Cross Site Scripting, ou d'accéder à une session.
Produits concernés : SiteScope.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, accès/droits client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 28/07/2011.
Références : BID-48913, BID-48916, c02940969, CERTA-2011-AVI-427, CVE-2011-2400, CVE-2011-2401, HPSBMU02692, SSRT100581, VIGILANCE-VUL-10877.

Description de la vulnérabilité

Deux vulnérabilités ont été annoncées dans HP SiteScope.

Un attaquant peut provoquer un Cross Site Scripting, afin de faire exécuter du code JavaScript dans le navigateur web des utilisateurs. [grav:2/4; BID-48913, CERTA-2011-AVI-427, CVE-2011-2400]

Un attaquant peut forcer la valeur de la variable de session, afin d'accéder à un compte utilisateur. [grav:3/4; BID-48916, CVE-2011-2401]

Un attaquant peut donc employer deux vulnérabilités de HP SiteScope, afin de provoquer un Cross Site Scripting, ou d'accéder à une session.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2011-1726 CVE-2011-1727

HP SiteScope : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting ou injecter du code HTML dans HP SiteScope.
Produits concernés : SiteScope.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 22/04/2011.
Références : BID-47554, c02807712, CERTA-2011-AVI-257, CVE-2011-1726, CVE-2011-1727, HPSBMA02667, SSRT100464, VIGILANCE-VUL-10597.

Description de la vulnérabilité

Deux vulnérabilités ont été annoncées dans HP SiteScope.

Un attaquant peut provoquer un Cross Site Scripting. [grav:2/4; CERTA-2011-AVI-257, CVE-2011-1726]

Un attaquant peut injecter du code HTML. [grav:1/4; CVE-2011-1727]
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur SiteScope :