Hewlett Packard Enterprise (HPE) ha publicado actualizaciones de seguridad para abordar ocho vulnerabilidades en las soluciones de copia de seguridad y deduplicación de datos de StoreOnce, lo que podría dar como resultado el omisión de la autenticación y la ejecución del código remoto.
«Estas vulnerabilidades podrían explotarse de forma remota para permitir vulnerabilidades en la ejecución de código remoto, divulgación de información, falsificación de solicitudes del lado del servidor, derivación de autenticación, deleción arbitraria de archivos e información transversal del directorio», dijo HPE en su aviso.
Esto incluye soluciones para fallas de seguridad críticas rastreadas como CVE-2025-37093, que tiene una calificación de 9.8 en el sistema de puntuación CVSS. Se describió como un error de derivación de autenticación que afecta a todas las versiones del software antes de 4.3.11. La vulnerabilidad, junto con el resto, se informó al proveedor el 31 de octubre de 2024.
Según la Iniciativa Cero Day (ZDI), los investigadores anónimos han encontrado e informado las deficiencias, y el problema se basa en la implementación del método MachineAcCountCheck.
«Este problema es causado por una implementación inapropiada del algoritmo de autenticación», dijo Zdi. «Los atacantes pueden explotar esta vulnerabilidad para evitar la autenticación en el sistema».
La explotación exitosa de CVE-2025-37093 permite a los atacantes remotos evitar la autenticación en las instalaciones afectadas. Lo que hace que la vulnerabilidad sea aún más seria es que se puede encadenar con los defectos restantes para lograr la ejecución del código, la divulgación de información y la eliminación de archivos arbitrarios en el contexto de la raíz –
CVE-2025-37089 Ejecución del código-Remote CVE-2025-37090 Solicitud del lado del servidor Forgery CVE-2025-37091 Ejecución del código-Remote CVE-2025-37092-CVE-2025-37093-Authentication CVE-2025-37094-Director Trazor CVE-2025-37095095-Autenceo CVE-2025-37094-Director Trazor CVE-2025-37095095-Autenceo Divulgación transversal CVE-2025-37096 Ejecución del código-Remote
HPE también ha enviado parches que abordan múltiples defectos de gravedad para HPE Telco Service Orchestrator (CVE-2025-31651, puntaje CVSS: 9.8) y OneView (CVE-2024-38475, CVE-2024-38476, las puntuaciones de CVSS se indican: 9.8SS SECTORES, AS HPE SE SPLET ASTO SE SCUESTOS DE CUCHO SE SCUESTOS DE CUCHORES COMPLETOS ASEGURADOS ESTÁ MULTIVADOS. Defectos para CVE-2024-38475, CVE-2024-38476. Servidor apache http.
No hay informes de explotación agresiva, pero es esencial que los usuarios apliquen las últimas actualizaciones para una protección óptima.
Source link
