Inicio / Alerta Temprana / Avisos Seguridad / Múltiples vulnerabilidades en HP Insight Diagnostics

Múltiples vulnerabilidades en HP Insight Diagnostics

Fecha de publicación: 
11/06/2013
Importancia: 
3 - Media
Recursos afectados: 
HP Insight Diagnostics 9.4.0.4710 y posiblemente versiones anteriores
Descripción: 

La utilidad HP Insight Diagnostics de HP contiene múltiples vulnerabilidades que pueden ser explotadas por un atacante remoto para ejecutar código PHP arbitrario con privilegios administrativos.

Solución: 

Por el momento no existe ningún parche o actualización que solucione dichas vulnerabilidades. No obstante, hasta que se publique una actualización se recomienda permitir conexiones únicamente desde equipos y redes de confianza.

Detalle: 

Vulnerabilidades que afectan a HP Insight Diagnostics:

  • CWE-74: Incorrecto filtrado de determinados elementos podrían dar lugar a inyecciones de código.
  • CWE-74: dos vulnerabilidades que podrían permitir a un atacante inyectar datos de su elección a través del parámetro "devicePath" en un fichero que se almacena en un lugar arbitrario en el servidor.
  • CWE-98: vulnerabilidad de tipo local file inclusion.

IMPACTO: La combinación de estas vulnerabilidades podrían permitir a un atacante remoto autenticado ejecutar comandos arbitrarios en el servidor con privilegios de administrador.

Etiquetas: