Múltiples vulnerabilidades en Intelligent Management Center de HPE
Fecha de publicación 10/05/2019
Importancia
5 - Crítica
Recursos Afectados
- Intelligent Management Center.
Descripción
Matthias Kaiser y Steven Seeley, de Incite Team, han publicado un total de 8 vulnerabilidades, siendo una de ellas de severidad media, 5 altas y 2 críticas. Las vulnerabilidades descritas podrían permitir ataques de ejecución remota de código y de divulgación de credenciales criptográficas.
Solución
-
[Actualización 30/05/2019] HPE ha proporcionado actualizaciones a HPE Intelligent Management Center (IMC) PLAT para abordar estas vulnerabilidades.
-
[Actualización 30/05/2019] Visite el Centro de soporte HPE para descargar el software más reciente para su producto.
Detalle
Las vulnerabilidades de severidad crítica son:
- Existe un fallo específico en el endpoint AccessMgrServlet. Al analizar las solicitudes, el proceso no valida correctamente los datos suministrados por el usuario, lo que puede dar lugar a la deserialización de los datos no fiables. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de SYSTEM. [Actualización 30/05/2019] Se ha reservado el CVE-2019-11945 a esta vulnerabilidad.
- Se produce un error en el manejo de las peticiones AMF3 hasta el endpoint amf. El problema se debe a la falta de validación adecuada de los datos suministrados por el usuario, que puede dar lugar a la deserialización de los datos no confiables. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de SYSTEM. [Actualización 30/05/2019] Se ha reservado el CVE-2019-11944 a esta vulnerabilidad.
- [Actualización 30/05/2019] Para el resto de vulnerabilidades se han reservado los siguientes CVE: CVE-2019-11941, CVE-2019-5370, CVE-2019-11943, CVE-2019-11942, CVE-2019-11947, CVE-2019-11946 y CVE-2019-11941.
Listado de referencias
Etiquetas