Múltiples vulnerabilidades en HPE PPU UCS Meter
Fecha de publicación 18/09/2020
Importancia
5 - Crítica
Recursos Afectados
HPE Pay Per Use (PPU) Utility Computing Service (UCS) Meter, versión 1.9.
Descripción
El investigador conocido como "rgod", en colaboración con Trend Micro de ZDI, ha reportado 3 vulnerabilidades, 1 de severidad crítica y 2 altas, de tipo ejecución remota de código (RCE) y divulgación de información.
Solución
HPE ha discontinuado el programa de desarrollo del producto afectado y la descarga del mismo ha sido eliminada de My HPE Software Center, por lo que se recomienda borrar este producto al quedar obsoleto.
Dada la naturaleza de las vulnerabilidades, la única estrategia de mitigación consiste en restringir la interacción con la aplicación.
Detalle
- Un atacante remoto, no autenticado, podría ejecutar código arbitrario, en el contexto del sistema, en instalaciones afectadas de HPE PPU UCS Meter, debido a una falta de validación adecuada en la clase ReceiverServlet. Se ha asignado el identificador CVE-2020-24626 para esta vulnerabilidad.
- Un atacante remoto, no autenticado, podría divulgar información, en el contexto del sistema, en instalaciones afectadas de HPE PPU UCS Meter, debido a una falta de validación adecuada en la clase DownloadServlet. Se ha asignado el identificador CVE-2020-24624 para esta vulnerabilidad.
- Un atacante remoto, no autenticado, podría divulgar información, en el contexto del sistema, en instalaciones afectadas de HPE PPU UCS Meter, debido a una falta de validación adecuada en la clase ReceiverServlet. Se ha asignado el identificador CVE-2020-24625 para esta vulnerabilidad.
Listado de referencias
Etiquetas