| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.3 | $0-$5k | 0.00 |
Zusammenfassung
In HP Power Manager bis 4.2.7 wurde eine problematische Schwachstelle gefunden. Hierbei geht es um die Funktion Admin. Die Veränderung resultiert in Cross Site Request Forgery.
Die Verwundbarkeit wird unter CVE-2011-0277 geführt. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Es ist soweit kein Exploit verfügbar.
Details
In HP Power Manager bis 4.2.7 wurde eine Schwachstelle gefunden. Sie wurde als kritisch eingestuft. Hierbei betrifft es die Funktion Admin. Durch die Manipulation mit einer unbekannten Eingabe kann eine Cross Site Request Forgery-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-352. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:
Cross-site request forgery (CSRF) vulnerability in HP Power Manager (HPPM) 4.3.2 and earlier allows remote attackers to hijack the authentication of administrators for requests that create new administrative accounts.Die Schwachstelle wurde am 07.02.2011 durch Sow Ching Shiong (Website) öffentlich gemacht. Bereitgestellt wird das Advisory unter securitytracker.com. Die Verwundbarkeit wird als CVE-2011-0277 geführt. Der Angriff kann über das Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Eine Ausnutzung erfordert, dass das Opfer eine spezifische Handlung durchführt. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht.
Für den Vulnerability Scanner Nessus wurde am 17.02.2011 ein Plugin mit der ID 52015 (HP Power Manager Unspecified Cross-Site Request Forgery) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family CGI abuses zugeordnet.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Unter anderem wird der Fehler auch in den Datenbanken von Tenable (52015), SecurityFocus (BID 46258†), OSVDB (70836†), SecurityTracker (ID 1025032†) und Vulnerability Center (SBV-29857†) dokumentiert. If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Produkt
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.hp.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.3VulDB Meta Temp Score: 6.3
VulDB Base Score: 6.3
VulDB Temp Score: 6.3
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Cross Site Request ForgeryCWE: CWE-352 / CWE-862 / CWE-863
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 52015
Nessus Name: HP Power Manager Unspecified Cross-Site Request Forgery
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
OpenVAS ID: 801591
OpenVAS Name: HP Power Manager Cross Site Request Forgery (CSRF) and XSS Vulnerability
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔍
Timeline
23.12.2010 🔍07.02.2011 🔍
08.02.2011 🔍
08.02.2011 🔍
08.02.2011 🔍
09.02.2011 🔍
17.02.2011 🔍
21.02.2011 🔍
20.03.2015 🔍
03.08.2024 🔍
Quellen
Hersteller: hp.comAdvisory: securitytracker.com⛔
Person: Sow Ching Shiong
Status: Nicht definiert
CVE: CVE-2011-0277 (🔍)
GCVE (CVE): GCVE-0-2011-0277
GCVE (VulDB): GCVE-100-56389
SecurityFocus: 46258 - HP Power Manager Unspecified Cross Site Request Forgery Vulnerability
Secunia: 43058
OSVDB: 70836 - HP Power Manager Multiple Unspecified Admin Function CSRF
SecurityTracker: 1025032
Vulnerability Center: 29857 - HP Power Manager 4.3.2 and Earlier Remote Cross Site Request Forgery Vulnerability, Medium
Eintrag
Erstellt: 20.03.2015 16:16Aktualisierung: 03.08.2024 02:48
Anpassungen: 20.03.2015 16:16 (55), 16.03.2017 15:29 (13), 16.10.2021 07:42 (4), 16.10.2021 07:47 (1), 03.08.2024 02:48 (16)
Komplett: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.