PT-2020-9230 · Hewlett Packard · Hpe Simplivity 380 Gen10 H+7
Publicado
2020-01-03
·
Atualizado
2020-01-17
·
CVE-2019-11994
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
HPE SimpliVity 380 Gen 9
HPE SimpliVity 380 Gen 10
HPE SimpliVity 380 Gen 10 G
HPE SimpliVity 2600 Gen 10
SimpliVity OmniCube
SimpliVity OmniStack para Cisco
SimpliVity OmniStack para Lenovo
SimpliVity OmniStack para nós Dell
Versões do HPE OmniStack anteriores à 3.7.10
Descrição
Foi identificada uma falha de segurança em que uma API usada para executar um arquivo de manifesto de comando durante uma atualização não impede corretamente a traversal de diretórios. Isso permite a execução de arquivos de manifesto em locais arbitrários no nó. A API não exige autenticação do usuário e é acessível pela rede de gerenciamento, resultando no risco de execução remota não autenticada de arquivos de manifesto.
Recomendações
Para versões do HPE OmniStack anteriores à 3.7.10, atualize o software OmniStack para a versão 3.7.10 ou posterior.
Se não for possível atualizar para a versão 3.7.10, implemente a solução alternativa temporária fornecida pela HPE.
Todos os clientes devem atualizar para a versão recomendada 3.7.10 ou posterior assim que possível.
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Hpe Omnistack
Hpe Simplivity 2600 Gen 10
Hpe Simplivity 380 Gen10 H
Hpe Simplivity 380 Gen9
Simplivity Omnicube
Simplivity Omnistack For Cisco
Simplivity Omnistack For Dell Nodes
Simplivity Omnistack For Lenovo