Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en Unified OSS Console de HPE

Fecha de publicación 22/12/2023
Identificador
INCIBE-2023-0582
Importancia
5 - Crítica
Recursos Afectados
  • HPE Unified OSS Console (UOC), versiones anteriores a v3.1.0.
Descripción

El equipo de respuesta de seguridad de productos de HPE ha informado que, una vulnerabilidad de severidad crítica y dos vulnerabilidades de severidad alta ya reportadas, afectan a uno de sus productos. La explotación de estas vulnerabilidades podría permitir a un atacante remoto evadir las restricciones de acceso, realizar una ejecución arbitraria de código, evadir la autenticación, comprometer la integridad del sistema, y desbordar el búfer.

Solución

HPE ha resuelto las vulnerabilidades reportadas en la versión 3.1.0.

Detalle
  • El uso de "Module._load()" puede eludir el mecanismo de políticas y requerir módulos fuera de la definición policy.json para un módulo dado. Se ha asignado el identificador CVE-2023-32002 para esta vulnerabilidad.
  • Redis es una base de datos en memoria que persiste en disco. Un script Lua especialmente diseñado que se ejecute en Redis puede desencadenar un desbordamiento de pila en la librería cjson, y dar lugar a la corrupción de la pila y potencialmente a la ejecución remota de código. Se ha asignado el identificador CVE-2022-24834 para esta vulnerabilidad.
  • Cuando la función de políticas de Node.js comprueba la integridad de un recurso con un manifiesto de confianza, la aplicación puede interceptar la operación y devolver una suma de comprobación falsificada a la implementación de políticas del nodo, deshabilitando así de forma efectiva la comprobación de integridad. Se ha asignado el identificador CVE-2023-38552 para esta vulnerabilidad.