Múltiples vulnerabilidades en XtremIO de Dell EMC

Fecha de publicación: 17/12/2019

Importancia:
Crítica

Recursos afectados:

Dell EMC XtremIO X2 XMS, versiones anteriores a la 6.3.0.

Descripción:

Lukasz Plonka ha identificado 3 vulnerabilidades, una de ellas con severidad crítica y las otras de severidad media, en el producto XtremIO de Dell EMC. La explotación de estas vulnerabilidades permitiría a un atacante remoto comprometer el sistema afectado.

Solución:

Actualizar Dell EMC XtremIO XMS a la versión 6.3.0 o posterior.

Detalle:

  • La vulnerabilidad de severidad crítica podría permitir a un atacante con acceso remoto y nivel bajo de privilegios explotar una vulnerabilidad, de tipo XSS (Cross-Site Scripting) almacenado, y guardar código HTML o JavaScript malicioso en los campos de aplicación. Cuando los usuarios acceden a la página inyectada a través de sus navegadores, el código malicioso puede ser ejecutado por el navegador en el contexto de la aplicación web vulnerable. Se ha reservado el identificador CVE-2019-18578 para esta vulnerabilidad.
  • Las vulnerabilidades de severidad medía:
    • Se ha identificado una vulnerabilidad de divulgación de información en la que las contraseñas de los usuarios del sistema operativo se registran en archivos locales. Un atacante local, con acceso a los archivos de registro, puede usar las contraseñas expuestas para acceder a XtremIO con los privilegios del usuario comprometido. Se ha reservado el identificador CVE-2019-18576 para esta vulnerabilidad.
    • Una vulnerabilidad de asignación de permisos incorrecta permitiría a un atacante local, con privilegios xinstall en XtremIO, obtener acceso de root en caso de ser explotada. Se ha reservado el identificador CVE-2019-18577 para esta vulnerabilidad.

Encuesta valoración

Etiquetas:
Actualización, Vulnerabilidad

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.