Múltiples vulnerabilidades en productos HPE

Fecha de publicación 05/02/2019
Importancia
4 - Alta
Recursos Afectados
  • HPE Integrated Lights-Out 5 (iLO 5) para HPE Gen10 Servers versiones anteriores a v1.40.
  • HPE Service Pack para ProLiant versiones anteriores a 2018.09.0 (27 Sep 2018).
Descripción

Se han detectado varias vulnerabilidades en productos de HPE que podrían permitir una ejecución remota de código (XSS) o eludir la restricción de acceso local.

Solución
  • Para HPE Integrated Lights-Out 5 (iLO 5) actualizar el firmware a la versión 1.40 o posterior.
  • Para HPE Service Pack para ProLiant (SPP) actualizar a la versión 2018.09.0 (27 Sep 2018) o posterior.
Detalle
  • Un atacante remoto podría explotar la vulnerabilidad de iLO de HP que permitiría la ejecución de código arbitrario a través del interfaz web de usuario. Se ha reservado el identificador CVE-2018-7117 para esta vulnerabilidad de severidad alta.
  • Un atacante con acceso local podría omitir las restricciones de acceso en HPE Service Pack ProLiant. Se ha reservado el identificador CVE-2018-7118 para esta vulnerabilidad de severidad media.

Encuesta valoraciĂ³n

Listado de referencias
HPESBHF03907 rev.1 - HPE Integrated Lights-Out 5 (iLO 5) for Gen10 ProLiant Servers, Remote Cross-Site Scripting in HPE iLO 5 Web User Interface
HPESBHF03904 rev.1 - HPE Service Pack for ProLiant (SPP) Bundled Software, Local Access Restriction Bypass
Etiquetas