发布日期：2010-03-23
更新日期：2010-03-24

受影响系统：

SpringSource Hyperic HQ 4.2 pre-release
SpringSource Hyperic HQ 4.1
SpringSource Hyperic HQ 4.0

不受影响系统：

SpringSource Hyperic HQ 4.2 pre-release
SpringSource Hyperic HQ 4.1.2.1
SpringSource Hyperic HQ 4.0.3.2

描述：

---

BUGTRAQ  ID: 38913
CVE ID: CVE-2009-2907

Hyperic HQ是一个开源的IT资源管理平台。

Hyperic HQ直接使用了从数据库所检索到的数据用于形成HTML输出。攻击者可以在多个字段中输入HTML代码，当显示给用户时就可以执行存储式跨站脚本攻击。

<*来源：Aaron Kulick
  
  链接：http://marc.info/?l=full-disclosure&m=126938153632078&w=2
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

<SCRIPT>alert("XSS Vulnerable")</SCRIPT>

建议：

---

厂商补丁：

SpringSource
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.springsource.com/

浏览次数：2268
严重程度：0（网友投票）