Múltiples vulnerabilidades en Vertiv Avocent UMG-4000

Fecha de publicación 31/03/2020
Importancia
4 - Alta
Recursos Afectados

Vertiv Avocent UMG-4000, versión 4.2.1.19.

Descripción

El producto Avocent UMG-4000 de Vertiv contiene 3 vulnerabilidades, una de severidad alta y 2 de severidad media, de tipo inyección de comandos y XSS persistente.

Solución
  • Los usuarios que no usen la plataforma Trellis deben instalar la versión de firmware 4.2.2.21 o superior.
  • Los usuarios que emplean Trellis, versiones desde 5.0.2 hasta 5.0.6, ejecutando la versión de firmware 4.2.0.23, deben aplicar el parche correspondiente.
  • Los usuarios que utilizan Tellis en la versión 5.0.6 o superiores, deben instalar la versión de firmware 4.3.0.23.
Detalle
  • La interfaz web del producto afectado es vulnerable a una inyección de comandos porque la aplicación neutraliza incorrectamente la sintaxis del código antes de ejecutarse. Dado que todos los comandos de la aplicación web se ejecutan como root, esto podría permitir a un atacante remoto, autentificado, con una cuenta de administrador, ejecutar comandos arbitrarios. Se ha asignado el identificador CVE-2019-9507 para esta vulnerabilidad.

Para las vulnerabilidades de severidad media, se han asignado los identificadores CVE-2019-9508 y CVE-2019-9509.

Encuesta valoración

Listado de referencias
Vertiv Avocent UMG-4000 vulnerable to command injection and cross-site scripting vulnerabilities
VERTIV™ Avocent® Universal Management Gateway 2000/4000/6000 Appliance VERSION 4.3.0.23
Etiquetas