Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en dos API en HPE SimpliVity (CVE-2019-11993)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
03/01/2020
Última modificación:
21/01/2020

Descripción

Ha sido identificada una vulnerabilidad de seguridad en HPE SimpliVity 380 Gen 9, HPE SimpliVity 380 Gen 10, HPE SimpliVity 380 Gen 10 G, HPE SimpliVity 2600 Gen 10, SimpliVity OmniCube, SimpliVity OmniStack para Cisco, SimpliVity OmniStack para Lenovo y SimpliVity OmniStack para nodos Dell. Dos API ahora en desuso ejecutadas como root, aceptan una ruta de nombre de archivo y pueden ser usadas para crear o eliminar archivos arbitrarios en los nodos. Estas API no requieren autenticación de usuario y son accesibles a través de la red de administración, resultando en vulnerabilidades de disponibilidad e integridad remotas para todos los clientes que ejecutan HPE OmniStack versión 3.7.9 y anteriores. HPE recomienda actualizar el software OmniStack a la versión 3.7.10 o posterior, que contiene una resolución permanente. Los clientes y socios que pueden actualizar a la versión 3.7.10 deben actualizar lo más pronto posible. Para todos los clientes y socios que no pueden actualizar sus entornos a la versión recomendada 3.7.10, HPE ha creado una Solución Temporal https://support.hpe.com/hpsc/doc/public/display?docLocale=en_US&docId=mmr_sf-EN_US000061675&withFrame para que la implementen. Todos los clientes deben actualizar a la versión 3.7.10 o posterior recomendada lo más pronto posible.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Vector 2.0
AV:N/AC:L/Au:N/C:N/I:C/A:C CVSS v2.0 Severidad y Métricas:

Puntuación base: 9.40 ALTA
Vector: AV:N/AC:L/Au:N/C:N/I:C/A:C

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Completo
Impacto a la disponibilidad (A): Completo

Puntuación base 2.0
9.40
Gravedad 2.0
ALTA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:o:hp:simplivity_380_gen9_firmware:*:*:*:*:*:*:*:* 3.6.2 (incluyendo) 3.7.9 (incluyendo)
cpe:2.3:h:hp:simplivity_380_gen9:-:*:*:*:*:*:*:*
cpe:2.3:o:hp:simplivity_380_gen10_g_firmware:*:*:*:*:*:*:*:* 3.7.8 (incluyendo) 3.7.9 (incluyendo)
cpe:2.3:h:hp:simplivity_380_gen10_g:-:*:*:*:*:*:*:*
cpe:2.3:o:hp:simplivity_380_gen10_firmware:*:*:*:*:*:*:*:* 3.7.1 (incluyendo) 3.7.9 (incluyendo)
cpe:2.3:h:hp:simplivity_380_gen10:-:*:*:*:*:*:*:*
cpe:2.3:o:hp:simplivity_2600_gen10_firmware:*:*:*:*:*:*:*:* 3.7.5 (incluyendo) 3.7.9 (incluyendo)
cpe:2.3:h:hp:simplivity_2600_gen10:-:*:*:*:*:*:*:*
cpe:2.3:o:hp:simplivity_omnicube_firmware:*:*:*:*:*:*:*:* 3.0.8 (incluyendo) 3.7.9 (incluyendo)
cpe:2.3:h:hp:simplivity_omnicube:-:*:*:*:*:*:*:*
cpe:2.3:o:hp:simplivity_omnistack_for_dell_firmware:*:*:*:*:*:*:*:* 3.0.8 (incluyendo) 3.7.9 (incluyendo)
cpe:2.3:h:hp:simplivity_omnistack_for_dell:-:*:*:*:*:*:*:*
cpe:2.3:o:hp:simplivity_omnistack_for_cisco_firmware:*:*:*:*:*:*:*:* 3.0.8 (incluyendo) 3.7.9 (incluyendo)
cpe:2.3:h:hp:simplivity_omnistack_for_cisco:-:*:*:*:*:*:*:*
cpe:2.3:o:hp:simplivity_omnistack_for_lenovo_firmware:*:*:*:*:*:*:*:* 3.0.8 (incluyendo) 3.7.9 (incluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información