Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en Intelligent Management Center de HPE

Fecha de publicación 10/05/2019
Importancia
5 - Crítica
Recursos Afectados
  • Intelligent Management Center.
Descripción

Matthias Kaiser y Steven Seeley, de Incite Team, han publicado un total de 8 vulnerabilidades, siendo una de ellas de severidad media, 5 altas y 2 críticas. Las vulnerabilidades descritas podrían permitir ataques de ejecución remota de código y de divulgación de credenciales criptográficas.

Solución
  • [Actualización 30/05/2019] HPE ha proporcionado actualizaciones a HPE Intelligent Management Center (IMC) PLAT para abordar estas vulnerabilidades.

  • [Actualización 30/05/2019] Visite el  Centro de soporte HPE para descargar el software más reciente para su producto.

Detalle

Las vulnerabilidades de severidad crítica son:

  • Existe un fallo específico en el endpoint AccessMgrServlet. Al analizar las solicitudes, el proceso no valida correctamente los datos suministrados por el usuario, lo que puede dar lugar a la deserialización de los datos no fiables. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de SYSTEM. [Actualización 30/05/2019] Se ha reservado el CVE-2019-11945 a esta vulnerabilidad.
  • Se produce un error en el manejo de las peticiones AMF3 hasta el endpoint amf. El problema se debe a la falta de validación adecuada de los datos suministrados por el usuario, que puede dar lugar a la deserialización de los datos no confiables. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de SYSTEM.  [Actualización 30/05/2019] Se ha reservado el CVE-2019-11944 a esta vulnerabilidad.
  • [Actualización 30/05/2019] Para el resto de vulnerabilidades se han reservado los siguientes CVE: CVE-2019-11941,  CVE-2019-5370, CVE-2019-11943, CVE-2019-11942, CVE-2019-11947, CVE-2019-11946 y CVE-2019-11941.

Encuesta valoración

Etiquetas