安全研究
安全漏洞
HP JetDirect打印机多个跨站脚本漏洞
发布日期:2009-10-07
更新日期:2009-10-09
受影响系统:HP JetDirect J8006E V.36.35
HP JetDirect J8004E V.36.35
HP JetDirect J8003E V.36.35
HP JetDirect J7993E V.36.35
HP JetDirect J7992E V.34.12
HP JetDirect J7991E V.34.60
HP JetDirect J7990E V.33.41
HP JetDirect J7987E V.34.60
HP JetDirect J7982E V.34.08
HP JetDirect J7979E V.33.55
HP JetDirect J7974E V.34.40
HP JetDirect J7973E V.30.31
HP JetDirect J7949E V.28.XX
HP color LaserJet CP6015
HP color LaserJet CP4005 Series
HP color LaserJet CP3505 Series
HP color LaserJet 6040 MFP
HP color LaserJet 4730 Series
HP color LaserJet 4700 Series
HP color LaserJet 3800 Series
HP color LaserJet 3600 Series
HP color LaserJet 3000 Series
HP LaserJet P4515
HP LaserJet P4015
HP LaserJet P4014
HP LaserJet P3005 Series
HP LaserJet M5025/5035 MFP
HP LaserJet M3027/3035 MFP
HP LaserJet 9040/9050 Series
HP LaserJet 5200 Series
HP LaserJet 4350 Series
HP LaserJet 4345 Series
HP LaserJet 4240/4250/4340 Series
HP LaserJet 2410/2420/2430
HP Digital Sender DS9250c
HP Digital Sender DS9200c
描述:
BUGTRAQ ID:
36613
CVE ID:
CVE-2009-2684
HP JetDirect打印机是惠普公司开发的集成网络功能的打印机。
HP的JetDirect系列打印机和数码扫描发送一体机没有正确的过滤对support_param.html/config页面所提交的Product_URL和Tech_URL参数,远程攻击者可以通过向上述机器所内嵌的Web服务器提交恶意请求执行存储式跨站脚本攻击,导致向用户的浏览器会话中注入并执行任意HTML和脚本代码。
<*来源:Polyakov Alexandr (
research@dsecrg.ru)
链接:
http://secunia.com/advisories/36969/
http://marc.info/?l=bugtraq&m=125494757128247&w=2
http://alerts.hp.com/r?2.1.3KT.2ZR.zWmfi.Dk0W0Y..T.KBnQ.2EE%5f.bW89MQ%5f%5fCfHGFPR0
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
http://[server]/support_param.html/config?Admin_Name=&Admin_Phone=&Product_URL=[XSS]&Tech_URL=[XSS]&Apply=Apply
建议:
厂商补丁:
HP
--
HP已经为此发布了一个安全公告(HPSBPI02463)以及相应补丁:
HPSBPI02463:SSRT090061 rev.1 - HP LaserJet Printers, HP Color LaserJet Printers, Remote Cross Site Scripting (XSS)
链接:
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01841397浏览次数:2364
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障 |
