Múltiples vulnerabilidades en OneView de HPE
HPE OneView: todas las versiones anteriores a la v10.00.
HPE ha publicado 4 vulnerabilidades: 2 de severidad crítica y 2 de severidad alta que de ser explotadas podrían permitir de forma remota una denegación de servicio (DoS), ejecución de código, divulgación de información, falsificación de solicitud del lado del servidor (SSRF) y ejecución local de scripts.
Actualizar a la v10.00 o posterior.
Las vulnerabilidades críticas, CVE-2024-38475, CVE-2024-38476 afectan a Apache HTTP Server 2.4.59 y versiones anteriores. En concreto, la vulnerabilidad crítica CVE-2024-38476, afecta al núcleo del servidor y es susceptible a la divulgación de información, SSRF o la ejecución local de scripts mediante aplicaciones backend cuyos encabezados de respuesta son maliciosos o explotables. Mientras que la vulnerabilidad, CVE-2024-38475, dada en el escape incorrecto de la salida en 'mod_rewrite', podría permitir a un atacante asignar URL a ubicaciones del sistema de archivos que el servidor puede servir, pero que no son accesibles intencional o directamente por ninguna URL, lo que resulta en la ejecución de código o la divulgación del código fuente.
Para las vulnerabilidades de severidad alta se han asignado los identificadores CVE-2024-38477 y CVE-2024-38477.
