Múltiples vulnerabilidades en Vertiv Avocent UMG-4000
Fecha de publicación 31/03/2020
Importancia
4 - Alta
Recursos Afectados
Vertiv Avocent UMG-4000, versión 4.2.1.19.
Descripción
El producto Avocent UMG-4000 de Vertiv contiene 3 vulnerabilidades, una de severidad alta y 2 de severidad media, de tipo inyección de comandos y XSS persistente.
Solución
- Los usuarios que no usen la plataforma Trellis deben instalar la versión de firmware 4.2.2.21 o superior.
- Los usuarios que emplean Trellis, versiones desde 5.0.2 hasta 5.0.6, ejecutando la versión de firmware 4.2.0.23, deben aplicar el parche correspondiente.
- Los usuarios que utilizan Tellis en la versión 5.0.6 o superiores, deben instalar la versión de firmware 4.3.0.23.
Detalle
- La interfaz web del producto afectado es vulnerable a una inyección de comandos porque la aplicación neutraliza incorrectamente la sintaxis del código antes de ejecutarse. Dado que todos los comandos de la aplicación web se ejecutan como root, esto podría permitir a un atacante remoto, autentificado, con una cuenta de administrador, ejecutar comandos arbitrarios. Se ha asignado el identificador CVE-2019-9507 para esta vulnerabilidad.
Para las vulnerabilidades de severidad media, se han asignado los identificadores CVE-2019-9508 y CVE-2019-9509.
Listado de referencias