Argitalpen data: 2021/02/03

Garrantzia: Kritikoa 

Kaltetutako baliabideak: 

HPE Moonshot Provisioning Manager, 1.20 bertsioa.

Azalpena:

Erik de Jong ikertzaileak, Trend Microko ZDIren laguntzarekin, ahultasun baten berri eman dio HPEri. Larritasun kritikokoa da, direktorio mugaturako sarbide desegokiaren motakoa (directory traversal).

Konponbidea: 

KoHPEren gomendioa da bezeroek Moonshot Provisioning Manager sistema erabiltzeari uztea. HPE Moonshot Provisioning Manager aplikazioa deskatalogatua dago, ez du laguntzarik jasotzen, ez dago deskargatzeko eskuragarri HPEren laguntza zentroan, eta ez dago partxerik eskuragarri.

Xehetasuna: 

Ahultasuna urrutiko erasotzaile batek baliatu lezake, egiaztatu gabe, direktorio mugatuaren mugatze desegokia eragiteko (directory traversal) erabiltzaileak emandako khuploadfile.cgi sarbidean; izan ere, erabiltzailea balioztatzeko segurtasun nahikorik ez dago, eta kontrolik gabe sar liteke edozein direktoriotara; horrela izanik, kodearen urrutiko exekuzioa eragin liteke, zerbitzu ukapena, edota sistemaren integritatea konprometitu liteke. Ahultasun horretarako, CVE-2021-25140 identifikatzailea esleitu da.

Etiketak: HP, Ahultasuna