Kritická zraniteľnosť v produkte Hewlett Packard Enterprise StoreOnce

Spoločnosť Hewlett Packard Enterprise vydala bezpečnostné aktualizácie svojho riešenia pre deduplikáciu, zálohovanie a obnovu dát StoreOnce, ktoré opravujú 8 zraniteľností. Jedna z nich je označená ako kritická. CVE-2025-37093 možno zneužiť na obídenie mechanizmov autentifikácie a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

  • HPE StoreOnce vo verziách starších ako 4.3.11

Opis zraniteľnosti:

CVE-2025-37093 (CVSSv3 skóre 9,8)

Kritická zraniteľnosť spočíva v nedostatočnej implementácii mechanizmov autentifikácie v rámci metódy machineAccountCheck. Vzdialený neautentifikovaný útočník by ju mohol zneužiť na získanie neoprávneného prístupu do systémuzískanie úplnej kontroly nad systémom.

CVE-2025-37089, CVE-2025-37091, CVE-2025-37092, CVE-2025-37096 (CVSSv3 skóre 7,2)

Vysoko závažné zraniteľnosti spočívajú v nedostatočnom overovaní používateľských vstupov v rámci metód setLocateBeaconOnHardware, queryHardwareReportLocally, doExecute a getServerCertificate a možno ich zneužiť na vzdialené vykonanie kódu v kontexte používateľa root.

Ostatné zraniteľnosti možno zneužiť na realizáciu útokov Server-Side Request Forgery (CVE-2025-37090), vykonanie neoprávnených zmien v systéme (CVE-2025-37094) a získanie neoprávneného prístupu k citlivým údajom (CVE-2025-37095).

Možné škody:

  • Vzdialené vykonanie kódu
  • Neoprávnený prístup k citlivým údajom
  • Neoprávnená zmena v systéme
  • Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom odporúčame vykonať bezodkladnú aktualizáciu produktu HPE StoreOnce na verziu 4.3.11 alebo novšiu.

Zdroje: