CRITICAL🇬🇧 English

CVE-2024-0005

Command injection w Pure Storage Purity poprzez konfigurację SNMP

CVSS 9.1v3.1pub. 2024-09-23upd. 2024-09-27

Podatność typu command injection w systemach Pure Storage FlashArray i FlashBlade Purity umożliwia zdalne wykonanie dowolnych poleceń przez odpowiednio spreparowaną konfigurację SNMP. Oceniona jako krytyczna (CVSS 9.1), stanowi poważne zagrożenie dla integralności i poufności danych przechowywanych w macierzach.

Pokaż oryginał (EN)

A condition exists in FlashArray and FlashBlade Purity whereby a malicious user could execute arbitrary commands remotely through a specifically crafted SNMP configuration.

🤖 Analiza AI
Jak działa

Atakujący posiadający uprawnienia administracyjne może dostarczyć specjalnie przygotowaną konfigurację SNMP, która prowadzi do wykonania arbitralnych poleceń systemowych na urządzeniu. Podatność wynika z niewystarczającej walidacji lub sanityzacji danych wejściowych przekazywanych w konfiguracji SNMP (CWE-77: Improper Neutralization of Special Elements used in a Command). Wektor ataku jest sieciowy, nie wymaga interakcji użytkownika, a skutki obejmują inny zakres systemowy (Scope: Changed).

Skutki

Skuteczne wykorzystanie podatności pozwala atakującemu na zdalne wykonanie dowolnych poleceń z potencjalnym przejęciem pełnej kontroli nad urządzeniem, co skutkuje utratą poufności, integralności oraz dostępności danych i systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi pod adresem https://purestorage.com/security. Dodatkowo zaleca się ograniczenie dostępu administracyjnego do interfejsów zarządzania urządzeniami oraz kontrolę dostępu do konfiguracji SNMP wyłącznie do zaufanych hostów.

Kogo dotyczy

Pure Storage Purity//FA (FlashArray) oraz Purity//FB (FlashBlade) — dokładne wersje wskazane w referencjach producenta (https://purestorage.com/security)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
  • Purestorage Purity\/\/fa

    APP
    Purestorage
    6.5.06.6.05.2.0 – 5.2.75.3.0 – 5.3.216.0.0 – 6.0.96.1.0 – 6.1.256.2.0 – 6.2.176.3.0 – 6.3.146.4.0 – 6.4.105.0.0 – 5.0.115.1.0 – 5.1.17
  • Purestorage Purity\/\/fb

    APP
    Purestorage
    4.3.04.3.13.2.0 – 3.2.103.3.0 – 3.3.113.0.0 – 3.0.94.1.0 – 4.1.104.2.0 – 4.2.34.0.0 – 4.0.63.1.0 – 3.1.5
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-0001CRITICAL10.0PL ✓ten sam produkt

FlashArray Purity — aktywne konto lokalne umożliwia privilege escalation

CVE-2024-0004CRITICAL9.1PL ✓ten sam produkt

Zdalne wykonanie kodu z eskalacją uprawnień w Pure Storage FlashArray Purity

CVE-2024-0003CRITICAL9.1PL ✓ten sam produkt

Pure Storage FlashArray Purity — nieautoryzowane tworzenie konta z uprawnieniami

CVE-2024-0002CRITICAL10.0PL ✓ten sam produkt

Obejście uwierzytelnienia w Pure Storage FlashArray Purity (CVSS 10.0)

CVE-2022-32554CRITICAL9.8ten sam produkt

Pure Storage FlashArray products running Purity//FA 6.2.0 - 6.2.3, 6.1.0 - 6.1.12, 6.0.0 - 6.0.8, 5.3.0 - 5.3....

CVE-2024-0005 — Command injection w Pure Storage Purity poprzez konfigurację SNMP — CRITICAL 9.1 | CVEbaza.pl