TLP: Amber
NIVEL DE RIESGO CVSS v3.1 – 9.9 [Crítico]
Acción Requerida: Aplicar las actualizaciones liberadas por HPE a los productos afectados.
Vector de ataque: Remoto.
Impacto: Elevación de privilegios.

Descripción

Hewlett Packard Enterprise ha publicado actualizaciones de seguridad para corregir una vulnerabilidad con el identificador CVE-2020-7198 (CVSS v3.1 9.9[Crítico]). Dicha falla permite a un usuario malicioso remoto con cuenta de OneView elevar privilegios tanto en OneView como en Synergy Composer.

Hasta el momento no se han dado mayores detalles acerca de esta vulnerabilidad, y a pesar de que se ha descrito como crítica, a la fecha, esta no ha sido aprovechada por algún usuario malicioso.

Nivel de riesgo

  • CVSS v3.1:9.9 [Crítico]

Sistemas/tecnologías afectadas:

  • HPE Synergy Composer versión 5.0, 5.00.01, 5.00.02, 5.2, 5.20.01, 5.3, 5.4 y anteriores.
  • HPE Synergy Composer 2 5.0, 5.00.01, 5.00.02, 5.2, 5.20.01, 5.3, 5.4.
  • HP OneView 5.0, 5.00.01, 5.00.02, 5.2, 5.20.01, 5.3, 5.4 y anteriores.

Medidas de erradicación

A continuación, se listan las versiones liberadas por Hewlett Packard Enterprise , las cuales corrigen las vulnerabilidades reportadas en esta alerta:

  • OneView Versión 5.5
  • Composer Versión 5.5
  • Composer2 Versión 5.5

Referencias