Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en HP Device Manager

Fecha de publicación 07/10/2020
Importancia
5 - Crítica
Recursos Afectados

Todas las versiones de HP Device Manager.

Descripción

El investigador de seguridad Nick Bloor ha notificado 3 vulnerabilidades al HP PRST (Product Security Response Team), una con severidad crítica y 2 altas, de tipos invocación de método remoto, cifrado débil y elevación de privilegios.

Solución
  • [Actualización 30/10/2020] HP Device Manager 4.7: actualizar a la versión 4.7 service pack 13;
  • HP Device Manager 5.0: actualizar a la versión 5.0.5.
Detalle
  • Esta vulnerabilidad podría permitir que un atacante remoto obtuviese acceso no autorizado a los recursos. Se ha asignado el identificador CVE-2020-6926 para esta vulnerabilidad crítica.
  • Esta vulnerabilidad podría permitir que las cuentas administradas localmente dentro de HP Device Manager fuesen susceptibles a ataques de diccionario debido a una implementación de cifrado débil. No afecta a los clientes que utilizan cuentas autenticadas de Active Directory. Se ha asignado el identificador CVE-2020-6925 para esta vulnerabilidad.
  • Esta vulnerabilidad podría permitir que un atacante obtuviese privilegios de SYSTEM. No afecta a los clientes que utilizan una base de datos externa (Microsoft SQL Server) y no han instalado el servicio integrado Postgres. Se ha asignado el identificador CVE-2020-6927 para esta vulnerabilidad.

Encuesta valoración