HPE Intelligent Management Center PLAT sérülékenységei


2017. október 4. 12:17

CH azonosító

CH-14253

Angol cím

HPE Intelligent Management Center PLAT vulnerabilities

Felfedezés dátuma

2017.10.03.

Súlyosság

Kritikus

Érintett rendszerek

HP

Érintett verziók

7.3 E0504P2 és előtti verziók

Összefoglaló

A HPE Intelligent Management Center PLAT több sérülékenysége vált ismertté, amelyek távoli kódfuttatást és szolgáltatás megtagadásos támadást (DoS) tesznek lehetővé.

Leírás

A hitelesített felhasználó egy maga által készített adatcsomagot küldve a rendszer 8080 vagy 8443 portjára elérheti, hogy:

  • a mibFileServlet alkalmazás beviteli ellenőrzési hibáját kihasználva tetszőleges fájlokat töltsön le és futtasson rendszer szintű jogosultsággal [CVE-2017-12554];
  •  a MibBrowserTopoFilterServlet alkalmazás tetszőleges kódot futtasson rendszer szintű jogosultsággal [CVE-2017-12556];
  • a WebDMDebugServlet alkalmazás tetszőleges kódot futtasson rendszer szintű jogosultsággal [CVE-2017-12557];
  • a WebDMServlet alkalmazás tetszőleges kódot futtasson rendszer szintű jogosultsággal [CVE-2017-12558];
  • a mibFileServlet alkalmazás tetszőleges fájlokat és mappákat töröljön a rendszeren [CVE-2017-12559] [CVE-2017-12560].

A támadó egy maga által készített adatcsomagot küldve a rendszer 2810 portjára elérheti, hogy a mibFileServlet alkalmazás tetszőleges fájlokat töröljön a rendszeren [CVE-2017-12561].

UPDATE (2017.10.30.):
A gyártó által kiadott frissítés a következő CVE számokon elérhető, távoli kódfuttatást lehetővé tevő sérülékenységeket is javítja:
CVE-2017-8962, CVE-2017-8963, CVE-2017-8964, CVE-2017-8965, CVE-2017-8966, CVE-2017-8967


Megoldás

Frissítsen a legújabb verzióra: 7.3 E0506P03

Támadás típusa

Input Validation

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

CVE-2017-12554 - NVD CVE-2017-12554
CVE-2017-12556 - NVD CVE-2017-12556
CVE-2017-12557 - NVD CVE-2017-12557
CVE-2017-12558 - NVD CVE-2017-12558
CVE-2017-12559 - NVD CVE-2017-12559
CVE-2017-12560 - NVD CVE-2017-12560
CVE-2017-12561 - NVD CVE-2017-12561
CVE-2017-8962 - NVD CVE-2017-8962
CVE-2017-8963 - NVD CVE-2017-8963
CVE-2017-8964 - NVD CVE-2017-8964
CVE-2017-8965 - NVD CVE-2017-8965
CVE-2017-8966 - NVD CVE-2017-8966
CVE-2017-8967 - NVD CVE-2017-8967
Gyártói referencia: www.securitytracker.com

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2010-3765 – Mozilla Multiple Products RCE sérülékenysége
CVE-2013-3918 – Microsoft Windows Out-of-Bounds Write sérülékenysége
CVE-2025-27915 – Synacor Zimbra Collaboration Suite (ZCS) Cross-site Scripting sérülékenysége
CVE-2010-3962 – Microsoft Internet Explorer Uninitialized Memory Corruption sérülékenysége
CVE-2021-22555 – Linux Kernel Heap Out-of-Bounds Write sérülékenysége
CVE-2025-4008 – Smartbedded Meteobridge Command Injection sérülékenysége
CVE-2015-7755 – Juniper ScreenOS Improper Authentication sérülékenysége
CVE-2017-1000353 – Jenkins RCE sérülékenysége
CVE-2014-6278 – GNU Bash OS Command Injection sérülékenysége
Tovább a sérülékenységekhez »