Múltiples vulnerabilidades en Telco Intelligent Assurance de HPE
Fecha de publicación 18/09/2025
Identificador
INCIBE-2025-0504
Importancia
5 - Crítica
Recursos Afectados
- HPE Telco Intelligent Assurance 5.0.
Descripción
HPE ha publicado 13 vulnerabilidades: 4 de severidad crítica, 2 de severidad alta y 7 de severidad media, cuya explotación podría permitir a un atacante ejecutar comandos arbitrarios en el servidor (RCE), exfiltrar archivos confidenciales, e inyectar contenido en dichos archivos.
Solución
Actualizar a la versión V5.1 del producto, que incluye versiones no vulnerables de los componentes afectados.
Detalle
- CVE-2025-24813: vulnerabilidad crítica de equivalencia de rutas (Path Equivalence), cuya explotación podría permitir a un atacante de forma remota ver archivos confidenciales, inyectar contenido en ellos y/o ejecutar código de forma remota.
- CVE-2022-1471: vulnerabilidad de deserialización insegura, cuya explotación podría permitir a un atacante de forma remota ejecutar código al deserializar contenido YAML malicioso.
- CVE-2024-50379: vulnerabilidad de condición de carrera (TOCTOU), cuya explotación podría permitir a un atacante de forma remota ejecutar código en sistemas de archivos insensibles a mayúsculas/minúsculas cuando el servlet predeterminado está habilitado para escritura.
- CVE-2024-56337: vulnerabilidad de condición de carrera (TOCTOU), cuya explotación podría permitir a un atacante de forma remota ejecutar código en sistemas de archivos insensibles a mayúsculas/minúsculas cuando el servlet predeterminado está habilitado para escritura. Se trata de mitigación adicional de la vulnerabilidad CVE-2024-50379 que se resolvía de forma incompleta.
Se han asignado los identificadores CVE-2022-25857 y CVE-2021-47621 para las vulnerabilidades de severidad alta. El detalle de estas vulnerabilidades, así como del resto de vulnerabilidades de severidad media, se puede consultar en el aviso de las referencias.
CVE
Listado de referencias
Etiquetas
