Inicio / Alerta Temprana / Avisos Seguridad / Múltiples vulnerabilidades en HPE PPU UCS Meter

Múltiples vulnerabilidades en HPE PPU UCS Meter

Fecha de publicación: 
18/09/2020
Importancia: 
5 - Crítica
Recursos afectados: 

HPE Pay Per Use (PPU) Utility Computing Service (UCS) Meter, versión 1.9.

Descripción: 

El investigador conocido como "rgod", en colaboración con Trend Micro de ZDI, ha reportado 3 vulnerabilidades, 1 de severidad crítica y 2 altas, de tipo ejecución remota de código (RCE) y divulgación de información.

Solución: 

HPE ha discontinuado el programa de desarrollo del producto afectado y la descarga del mismo ha sido eliminada de My HPE Software Center, por lo que se recomienda borrar este producto al quedar obsoleto.

Dada la naturaleza de las vulnerabilidades, la única estrategia de mitigación consiste en restringir la interacción con la aplicación.

Detalle: 
  • Un atacante remoto, no autenticado, podría ejecutar código arbitrario, en el contexto del sistema, en instalaciones afectadas de HPE PPU UCS Meter, debido a una falta de validación adecuada en la clase ReceiverServlet. Se ha asignado el identificador CVE-2020-24626 para esta vulnerabilidad.
  • Un atacante remoto, no autenticado, podría divulgar información, en el contexto del sistema, en instalaciones afectadas de HPE PPU UCS Meter, debido a una falta de validación adecuada en la clase DownloadServlet. Se ha asignado el identificador CVE-2020-24624 para esta vulnerabilidad.
  • Un atacante remoto, no autenticado, podría divulgar información, en el contexto del sistema, en instalaciones afectadas de HPE PPU UCS Meter, debido a una falta de validación adecuada en la clase ReceiverServlet. Se ha asignado el identificador CVE-2020-24625 para esta vulnerabilidad.

Encuesta valoración

Etiquetas: