製品・ソフトウェアに関する情報

JVN脆弱性詳細

Windows 上の HP Operations Manager における無制限のファイルアップロード攻撃を実行される脆弱性

Title	Windows 上の HP Operations Manager における無制限のファイルアップロード攻撃を実行される脆弱性
Summary	Windows 上の HP Operations Manager は、XML 内に Tomcat ユーザを指定する "隠れたアカウント" を含むため、無制限のファイルアップロード攻撃を実行される、および任意のコードを実行される脆弱性が存在します。
Possible impacts	第三者により、manager/html/upload へ要求を行うため org.apache.catalina.manager.HTMLManagerServlet クラスを使用されることで、無制限のファイルアップロード攻撃を実行される、および任意のコードを実行されるされる可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Nov. 18, 2009, midnight
Registration Date	Sept. 25, 2012, 5:38 p.m.
Last Update	Sept. 25, 2012, 5:38 p.m.

Affected System

ヒューレット・パッカード

HP Operations Manager 8.10

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2009-3843	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3843
National Vulnerability Database (NVD)
2	CVE-2009-3843	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3843

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-264	https://jvndb.jvn.jp/ja/cwe/CWE-264.html

ベンダー情報

No	Name	URL
HP
1	HPSBMA02478 SSRT090251	http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?lang=en&cc=us&objectID=c01931960

Change Log

No	Changed Details	Date of change
0	[2012年09月25日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2009-3843

Summary	HP Operations Manager 8.10 on Windows contains a "hidden account" in the XML file that specifies Tomcat users, which allows remote attackers to conduct unrestricted file upload attacks, and thereby execute arbitrary code, by using the org.apache.catalina.manager.HTMLManagerServlet class to make requests to manager/html/upload.
Summary	HP Operations Manager v8.10 de Windows contiene una cuenta oculta en el fichero XML donde se especifican los usuarios de Tomcat, lo que permite a atacantes remotos realizar ataques de subida de ficheros sin restricción, y por lo tanto ejecutar código de su elección, usando la clase org.apache.catalina.manager.HTMLManagerServlet para hacer peticiones a manager/html/upload.
Publication Date	Nov. 24, 2009, 9:30 a.m.
Registration Date	Jan. 29, 2021, 1:25 p.m.
Last Update	April 23, 2026, 9:35 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:hp:operations_manager:8.10::windows:::::

Related information, measures and tools

No	URL	refsource
1	http://marc.info/?l=bugtraq&m=125873415424980&w=2	hp-security-alert@hp.com
2	http://secunia.com/advisories/37444	hp-security-alert@hp.com
3	http://securitytracker.com/id?1023222	hp-security-alert@hp.com
4	http://www.osvdb.org/60317	hp-security-alert@hp.com
5	http://www.zerodayinitiative.com/advisories/ZDI-09-085/	hp-security-alert@hp.com
6	https://exchange.xforce.ibmcloud.com/vulnerabilities/54361	hp-security-alert@hp.com
7	http://marc.info/?l=bugtraq&m=125873415424980&w=2	af854a3a-2127-422b-91ae-364da2661108
8	http://secunia.com/advisories/37444	af854a3a-2127-422b-91ae-364da2661108
9	http://securitytracker.com/id?1023222	af854a3a-2127-422b-91ae-364da2661108
10	http://www.osvdb.org/60317	af854a3a-2127-422b-91ae-364da2661108
11	http://www.zerodayinitiative.com/advisories/ZDI-09-085/	af854a3a-2127-422b-91ae-364da2661108
12	https://exchange.xforce.ibmcloud.com/vulnerabilities/54361	af854a3a-2127-422b-91ae-364da2661108

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-264	認可・権限・アクセス制御	https://cwe.mitre.org/data/definitions/264.html