Se
han anunciado cuatro vulnerabilidades en HP Service Manager (versiones v7.21,
v9.21, v9.30, v9.31, v9.32 y v9.33) que podrían permitir a atacantes remotos
conseguir elevar sus privilegios, modificar datos, provocar denegaciones de
servicio y construir ataques de Cross-Site Scripting y Cross-Site Request Forgery.
HP Service Manager es la solución
de HP para la gestión de servicios de tecnologías de la información que permite
implementar los procesos necesarios para cada área de la organización. Tiene la
capacidad de manejar y automatizar los servicios y cumplir con el estándar
ITILv3.
El primero de los problemas, reside
en que el cliente Mobility Web Client y en SRC (Service Request Catalog) debido
a que no filtran adecuadamente el código hrml introducido por el usuario antes
de mostrarlo (CVE-2013-6222). Esto podría permitir a un usuario remoto construir
ataques de cross-site scripting.
Otro problema se presenta en WebTier
y podría permitir a un atacante remoto elevar sus privilegios (CVE-2014-2632). Una
vulnerabilidad de Cross-Site Request Forgery (CSRF) en Service Manager Server (CVE-2014-2633).
Una última vulnerabilidad podría permitir a un atacante remoto conseguir
acceder al servidor Service Manager para modificar datos o provocar
denegaciones de servicio (CVE-2014-2634).
HP ha publicado actualizaciones par
alas distintas plaformas afectadas, disponibles desde:
Más información:
HPSBMU03079 rev.1 - HP Service Manager,
Multiple Vulnerabilities
Antonio Ropero
