CRITICAL🇬🇧 English

CVE-2024-13980

H3C IMC: RCE przez deserializację JSF ViewState bez uwierzytelnienia

CVSS 10.0v4.0pub. 2025-08-27upd. 2026-04-15

H3C Intelligent Management Center (IMC) w wersjach do E0632H07 włącznie zawiera krytyczną podatność umożliwiającą zdalne wykonanie poleceń (RCE) przez endpoint /byod/index.xhtml. Luka nie wymaga uwierzytelnienia ani sesji użytkownika, co czyni ją wyjątkowo niebezpieczną w środowiskach sieciowych.

Pokaż oryginał (EN)

H3C Intelligent Management Center (IMC) versions up to and including E0632H07 contains a remote command execution vulnerability in the /byod/index.xhtml endpoint. Improper handling of JSF ViewState allows unauthenticated attackers to craft POST requests with forged javax.faces.ViewState parameters, potentially leading to arbitrary command execution. This flaw does not require authentication and may be exploited without session cookies. An affected version range is undefined. Exploitation evidence was first observed by the Shadowserver Foundation on 2024-08-28 UTC.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej obsługi parametru javax.faces.ViewState w mechanizmie JSF (JavaServer Faces) — jest to błąd niebezpiecznej deserializacji (CWE-502). Atakujący może wysłać spreparowane żądanie HTTP POST do endpointu /byod/index.xhtml z sfałszowanym parametrem javax.faces.ViewState zawierającym złośliwy payload. Serwer deserializuje ten parametr bez weryfikacji jego pochodzenia ani integralności, co prowadzi do wykonania arbitralnych poleceń w kontekście procesu aplikacji. Eksploitacja nie wymaga posiadania ważnego tokenu sesji ani ciasteczek uwierzytelniających.

Skutki

Nieuauthentykowany zdalny atakujący może uzyskać pełną kontrolę nad serwerem, na którym działa H3C IMC, wykonując dowolne polecenia systemowe. W konsekwencji możliwe jest przejęcie systemu zarządzania siecią, ujawnienie danych konfiguracyjnych oraz lateral movement w infrastrukturze zarządzanej przez IMC.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://www.h3c.com/cn/Service/Online_Help/psirt/). Do czasu wdrożenia poprawki zaleca się ograniczenie dostępu sieciowego do endpointu /byod/index.xhtml za pomocą firewall lub reguł ACL oraz izolację interfejsu zarządzania IMC od sieci publicznych i niezaufanych segmentów.

Kogo dotyczy

H3C Intelligent Management Center (IMC) w wersjach do E0632H07 włącznie; dokładny zakres wersji podatnych nie został ostatecznie zdefiniowany przez producenta.

Uwagi

Według opisu podatności, pierwsze dowody eksploitacji zostały zaobserwowane przez Shadowserver Foundation w dniu 2024-08-28 UTC. Mimo to podatność nie figuruje w katalogu CISA KEV.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth BypassDeserialization
CWE
Referencje