Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Múltiples vulnerabilidades en Dell EMC OpenManage System Administrator (OMSA)

Fecha de publicación: 04/06/2019

Importancia: Crítica

Recursos afectados:

  • Dell EMC OpenManage System Administrator (OMSA):
    • versiones anteriores a 9.1.0.3
    • versiones anteriores a 9.2.0.4

Descripción:

Dell ha publicado dos vulnerabilidades: una de severidad crítica, del tipo manipulación de parámetros web; y otra de severidad alta, que consiste en una inyección XXE (XML External Entity).

Solución:

Dell recomienda actualizar el producto desde su centro de descargas a una de las siguientes versiones:

  • 9.1.0.3 o posterior
  • 9.2.0.4 o posterior
  • 9.3.0 o posterior

Detalle:

  • Una vulnerabilidad de inyección XXE (XML External Entity) podría permitir a un atacante remoto no autenticado leer archivos arbitrarios del servidor al proporcionar definiciones de tipo de documento (DTD), especialmente diseñadas en una solicitud XML. Se ha reservado el identificador CVE-2019-3722 para esta vulnerabilidad.
  • Una vulnerabilidad de manipulación de parámetros web podría permitir a un atacante remoto no autenticado manipular los parámetros de las solicitudes web a OMSA y crear archivos arbitrarios con contenido vacío o eliminar contenido de cualquier archivo existente. Esto es debido a una validación inadecuada de los parámetros de entrada. Se ha reservado el identificador CVE-2019-3723 para esta vulnerabilidad.

Etiquetas: Actualización, Vulnerabilidad