Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en Dell EMC OpenManage System Administrator (OMSA)

Fecha de publicación 04/06/2019
Importancia
5 - Crítica
Recursos Afectados
  • Dell EMC OpenManage System Administrator (OMSA):
    • versiones anteriores a 9.1.0.3
    • versiones anteriores a 9.2.0.4
Descripción

Dell ha publicado dos vulnerabilidades: una de severidad crítica, del tipo manipulación de parámetros web; y otra de severidad alta, que consiste en una inyección XXE (XML External Entity).

Solución

Dell recomienda actualizar el producto desde su centro de descargas a una de las siguientes versiones:

  • 9.1.0.3 o posterior
  • 9.2.0.4 o posterior
  • 9.3.0 o posterior
Detalle
  • Una vulnerabilidad de inyección XXE (XML External Entity) podría permitir a un atacante remoto no autenticado leer archivos arbitrarios del servidor al proporcionar definiciones de tipo de documento (DTD), especialmente diseñadas en una solicitud XML. Se ha reservado el identificador CVE-2019-3722 para esta vulnerabilidad.
  • Una vulnerabilidad de manipulación de parámetros web podría permitir a un atacante remoto no autenticado manipular los parámetros de las solicitudes web a OMSA y crear archivos arbitrarios con contenido vacío o eliminar contenido de cualquier archivo existente. Esto es debido a una validación inadecuada de los parámetros de entrada. Se ha reservado el identificador CVE-2019-3723 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
DSA-2019-074: Dell EMC OpenManage System Administrator Multiple Vulnerabilities
Etiquetas