iLO 4 < 2.70 / iLO 5 < 1.40a 多个漏洞

high Nessus 插件 ID 125342

简介

远程 HP Integrated Lights-Out (iLO) 服务器的 Web 界面受到多种漏洞的影响

描述

根据其自我报告的版本,远程主机上运行的 HP Integrated Lights-Out 服务器版本低于 2.70 / 1.40a,分别适用于 iLO 4 / iLO 5。因而受到多个漏洞的影响:- 存在一个跨站脚本 (XSS) 漏洞,这是因为未正确验证用户提供的输入,便将其返回给用户所导致。未经身份验证的远程攻击者可利用此问题,通过诱使用户单击特制的 URL,在用户的浏览器会话中执行任意脚本代码。(CVE-2018-7117, CVE-2019-11982) - HPE iLO 的命令行界面组件中存在缓冲区溢出情形。未经身份验证的远程攻击者可利用此问题造成拒绝服务情况或执行任意代码。(CVE-2019-11983)

解决方案

对于 HP Integrated Lights-Out 4 (iLO 4),请将固件升级到 2.70 或更高版本。对于 HP Integrated Lights-Out 5 (iLO 5),请将固件升级到 1.40a 或更高版本。

另见

http://www.nessus.org/u?fa1b2a6b

插件详情

严重性: High

ID: 125342

文件名: ilo_HPESBHF_03917.nasl

版本: 1.7

类型: remote

系列: CGI abuses

发布时间: 2019/5/23

最近更新时间: 2022/5/20

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 6.5

CVSS v2

风险因素: High

基本分数: 8.3

时间分数: 6.1

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:C

CVSS 分数来源: CVE-2019-11983

CVSS v3

风险因素: High

基本分数: 8.3

时间分数: 7.2

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

CVSS 分数来源: CVE-2019-11982

漏洞信息

CPE: cpe:/o:hp:integrated_lights-out_firmware

必需的 KB 项: www/ilo, ilo/generation, ilo/firmware

易利用性: No known exploits are available

补丁发布日期: 2010/5/10

漏洞发布日期: 2019/5/17

参考资料信息

CVE: CVE-2018-7117, CVE-2019-11982, CVE-2019-11983

BID: 107857