H3C Intelligent Management Center (IMC) w wersjach do E0632H07 włącznie zawiera krytyczną podatność umożliwiającą zdalne wykonanie poleceń (RCE) przez endpoint /byod/index.xhtml. Luka nie wymaga uwierzytelnienia ani sesji użytkownika, co czyni ją wyjątkowo niebezpieczną w środowiskach sieciowych.
▸ Pokaż oryginał (EN)
H3C Intelligent Management Center (IMC) versions up to and including E0632H07 contains a remote command execution vulnerability in the /byod/index.xhtml endpoint. Improper handling of JSF ViewState allows unauthenticated attackers to craft POST requests with forged javax.faces.ViewState parameters, potentially leading to arbitrary command execution. This flaw does not require authentication and may be exploited without session cookies. An affected version range is undefined. Exploitation evidence was first observed by the Shadowserver Foundation on 2024-08-28 UTC.
Podatność wynika z nieprawidłowej obsługi parametru javax.faces.ViewState w mechanizmie JSF (JavaServer Faces) — jest to błąd niebezpiecznej deserializacji (CWE-502). Atakujący może wysłać spreparowane żądanie HTTP POST do endpointu /byod/index.xhtml z sfałszowanym parametrem javax.faces.ViewState zawierającym złośliwy payload. Serwer deserializuje ten parametr bez weryfikacji jego pochodzenia ani integralności, co prowadzi do wykonania arbitralnych poleceń w kontekście procesu aplikacji. Eksploitacja nie wymaga posiadania ważnego tokenu sesji ani ciasteczek uwierzytelniających.
Nieuauthentykowany zdalny atakujący może uzyskać pełną kontrolę nad serwerem, na którym działa H3C IMC, wykonując dowolne polecenia systemowe. W konsekwencji możliwe jest przejęcie systemu zarządzania siecią, ujawnienie danych konfiguracyjnych oraz lateral movement w infrastrukturze zarządzanej przez IMC.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://www.h3c.com/cn/Service/Online_Help/psirt/). Do czasu wdrożenia poprawki zaleca się ograniczenie dostępu sieciowego do endpointu /byod/index.xhtml za pomocą firewall lub reguł ACL oraz izolację interfejsu zarządzania IMC od sieci publicznych i niezaufanych segmentów.
H3C Intelligent Management Center (IMC) w wersjach do E0632H07 włącznie; dokładny zakres wersji podatnych nie został ostatecznie zdefiniowany przez producenta.
Według opisu podatności, pierwsze dowody eksploitacji zostały zaobserwowane przez Shadowserver Foundation w dniu 2024-08-28 UTC. Mimo to podatność nie figuruje w katalogu CISA KEV.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X