Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Múltiples vulnerabilidades en productos HPE

Fecha de publicación: 05/02/2019

Importancia: Alta

Recursos afectados:

  • HPE Integrated Lights-Out 5 (iLO 5) para HPE Gen10 Servers versiones anteriores a v1.40.
  • HPE Service Pack para ProLiant versiones anteriores a 2018.09.0 (27 Sep 2018).

Descripción:

Se han detectado varias vulnerabilidades en productos de HPE que podrían permitir una ejecución remota de código (XSS) o eludir la restricción de acceso local.

Solución:

  • Para HPE Integrated Lights-Out 5 (iLO 5) actualizar el firmware a la versión 1.40 o posterior.
  • Para HPE Service Pack para ProLiant (SPP) actualizar a la versión 2018.09.0(27 Sep 2018) o posterior.

Detalle:

  • Un atacante remoto podría explotar la vulnerabilidad de iLO de HP que permitiría la ejecución de código arbitrario a través del interfaz web de usuario. Se ha reservado el identificador CVE-2018-7117 para esta vulnerabilidad de severidad alta.
  • Un atacante con acceso local podría omitir las restricciones de acceso en HPE Service Pack ProLiant. Se ha reservado el identificador CVE-2018-7118 para esta vulnerabilidad de severidad media.

Etiquetas: Actualización, HP, Vulnerabilidad