HP PCM/PCM+/IDM GetEventsServlet SQL注入漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1166246 漏洞类型 SQL注入
发布时间 2013-09-10 更新时间 2013-09-10
CVE编号 CVE-2013-4809 CNNVD-ID CNNVD-201309-197
漏洞平台 N/A CVSS评分 7.5
|漏洞来源
https://www.securityfocus.com/bid/62350
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201309-197
|漏洞详情
HPProCurveManagerPlus(又名PCM+)是美国惠普(HP)公司的一套基于Windows的网络管理平台。HPIdentityDrivenManager(IDM)是其中的一个可对网络安全和性能进行配置的插件。HPPCM、PCM+和IDM中的GetEventsServlet应用程序中存在SQL注入漏洞。远程攻击者可借助sort或dir参数利用这些漏洞执行任意SQL命令。以下版本受到影响:HPPCM3.20和4.0版本,PCM+3.20和4.0版本,IDM4.0版本。
|受影响的产品
HP ProCurve Manager Plus 4.00 HP ProCurve Manager Plus 3.20 HP ProCurve Manager 4.0 HP ProCurve Manager 3.20 HP Identity Driven Manager 4.0
|参考资料

来源:zerodayinitiative.com
链接:http://zerodayinitiative.com/advisories/ZDI-13-227/
来源:HP
名称:HPSBPV02918
链接:http://h20565.www2.hp.com/portal/site/hpsc/template.PAGE/public/kb/docDisplay/?docId=emr_na-c03897409
来源:HP
名称:SSRT101132
链接:http://h20565.www2.hp.com/portal/site/hpsc/template.PAGE/public/kb/docDisplay/?docId=emr_na-c03897409