![[CERT-SE]](/static/img/cert-se.svg)
![[MSB]](/static/img/msb.svg)
Publicerad
Sårbarhet i HPE Project and Portfolio Management
En sårbarhet har upptäckts i HPE Project and Portfolio Management (PPM) som kan utnyttjas av en icke autentiserad fjärrangripare.
Vad har hänt?
HPE har publicerat ett säkerhetsråd gällande HPE Project and Portfolio Management (PPM).[1]
CVE-2017-8993
Sårbarheten beror på otillräcklig validering av indata från användaren till den sårbara mjukvaran. Sårbarheten möjliggör för en icke autentiserad fjärrangripare att genomföra "cross-site scripting"-attacker. Det här kan exempelvis innebära att en angripare kan exekvera godtycklig kod i webbläsaren eller stjäla autentiseringsuppgifter genom kakor(cookies) för sedan kunna genomföra andra attacker.[2]
HPE har klassificerat sårbarheten som Critical (9.8 av 10.0 på CVSS-skalan).
Påverkade produkter
HPE Project and Portfolio Management Center v9.30, v9.31, v9.32 och v9.40 är sårbara.
Rekommendationer
HPE har släppt säkerhetsuppdateringar för sårbarheten och CERT-SE rekommenderar att säkerhetsuppdatera påverkade system snarast. Säkerhetsuppdateringar finns på följande webbsida:
http://h20566.www2.hpe.com/hpsc/doc/public/display?docId=hpesbgn03766en_us
Källa
[1] http://h20566.www2.hpe.com/hpsc/doc/public/display?docId=hpesbgn03766en_us
[2] https://tools.cisco.com/security/center/viewAlert.x?alertId=54646