PT-2020-8060 · Hewlett Packard · Hp Storage Essentials
Filipe Bernardo
·
Publicado
2020-03-10
·
Atualizado
2020-03-11
·
CVE-2017-10992
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
**Nome do software vulnerável e versões afetadas:
HPE Storage Essentials versão 9.5.0.142
Descrição:
O problema envolve uma falha de deserialização Java sem autenticação, permitindo a execução remota de código por meio de comandos do sistema operacional em uma solicitação ao endpoint “invoker/JMXInvokerServlet”. Isso permite que um invasor execute comandos remotamente sem autenticação.
Recomendações:
Para o HPE Storage Essentials versão 9.5.0.142, considere restringir o acesso ao endpoint “invoker/JMXInvokerServlet” até que uma correção esteja disponível. Como solução alternativa temporária, desativar a funcionalidade de deserialização Java para este endpoint pode ajudar a minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Hp Storage Essentials