Múltiples vulnerabilidades en productos de HPE

Fecha de publicación 17/07/2024
Importancia
5 - Crítica
Recursos Afectados
  • Procesador de servicios HPE 3PAR v5.1.1 y anteriores.
  • Consola OSS unificada (UOC) de HPE: anterior a v3.1.6.
Descripción

HPE ha publicado 18 vulnerabilidades: 3 de severidad crítica, 8 de severidad alta y 7 de severidad media, que podrían permitir eludir autenticación o la ejecución remota de código arbitrario o comandos, la elevación local de privilegios, la corrupción de memoria local, el desbordamiento de búfer local y la vulnerabilidad de validación de entrada local.

Solución

HPE ha realizado las siguientes actualizaciones:

  • Procesador de servicios HPE 3PAR v5.1.2.
  • Monitoreo de garantía de consola OSS unificada de HPE (UOCAM) v3.1.6.
Detalle

Las vulnerabilidades de severidad crítica identificadas se clasifican en:

  • CVE-2024-22442 podría explotarse de forma remota para eludir la autenticación.
  • CVE-2024-21508 podría permitir ejecución remota de código (RCE) a través de la función 'readCodeFor', debido a una validación incorrecta de los valores 'supportBigNumbers' y 'bigNumberStrings'.
  • CVE-2024-21511 podría permitir inyección de código arbitrario, debido a la limpieza incorrecta del parámetro de zona horaria en la función 'readCodeFor', al llamar a una función de fecha y hora nativa de MySQL Server.

Para las vulnerabilidades de severidad alta se ha asignado los identificadores CVE-2022-48622, CVE-2023-43787, CVE-2023-6597, CVE-2024-21891, CVE-2024-21891, CVE-2024-21891, CVE-2024-22017 y CVE-2024-22017.

 

Listado de referencias
HPESBST04663 rev.1 - HPE 3PAR Service Processor Software, Remote Bypass Security Restriction Vulnerability
HPESBGN04665 rev.1 - HPE Unified OSS Console Assurance Monitoring (UOCAM), Multiple Vulnerabilities
Etiquetas