Vulnerabilidad XSS en HPE Project y Portfolio Management (PPM)

Fecha de publicación:

02/08/2017

Importancia:

5 - Crítica

Recursos afectados:

HPE Project y Portfolio Management Center, versiones 9.30, 9.31, 9.32 y 9.40

Descripción:

HPE Product Security Response Team ha identificado una vulnerabilidad que permitiría la ejecución remota de una ataque de secuencia de comandos de sitios cruzados (XSS).

Solución:

HPE ha publicado actualizaciones de las versiones afectadas de HPE Project y Portfolio Management (PPM) y recomienda realizar las siguientes acciones:

Actualizar HPE PMM versión 9.3x a HPE PPM versión 9.32.0005, puede obtener más información aquí.
Actualizar HPE PMM versión 9.40 a HPE PPM versión 9.41, puede obtener más información aquí.

Detalle:

Un atacante remoto, podría explotar la vulnerabilidad descrita en este aviso y ejecutar con éxito un ataque de secuencia de comandos de sitios cruzados (XSS) en los productos afectados. Se ha reservado el identificador CVE-2017-8993 para esta vulnerabilidad.

Referencias:

HPESBGN03766 rev.1 - HPE Project and Portfolio Management (PPM), Remote Cross-Site Scripting

Accesos corporativos

Vulnerabilidad XSS en HPE Project y Portfolio Management (PPM)

Vulnerabilidad de inyección SQL a través de Django

Múltiples vulnerabilidades en GitLab

Múltiples vulnerabilidades en productos Netgear

Ejecución arbitraria de código en IBM CICS TX

Divulgación de información sensible en HPE NonStop DSM/SCM