CRITICAL🇬🇧 English

CVE-2024-22216

Nieautoryzowany dostęp w Microchip maxView Storage Manager przez serwer Redfish

CVSS 10.0v3.1pub. 2024-01-08upd. 2025-06-18

Podatność w domyślnych instalacjach Microchip maxView Storage Manager umożliwia nieautoryzowany dostęp do systemu zarządzania magazynem danych poprzez skonfigurowany serwer Redfish. Zagrożenie jest krytyczne, ponieważ atakujący zdalnie i bez uwierzytelnienia może modyfikować dane oraz uzyskiwać dostęp do poufnych informacji.

Pokaż oryginał (EN)

In default installations of Microchip maxView Storage Manager (for Adaptec Smart Storage Controllers) where Redfish server is configured for remote system management, unauthorized access can occur, with data modification and information disclosure. This affects 3.00.23484 through 4.14.00.26064 (except for the patched versions 3.07.23980 and 4.07.00.25339).

🤖 Analiza AI
Jak działa

W domyślnych konfiguracjach oprogramowania maxView Storage Manager, gdzie serwer Redfish jest aktywowany do zdalnego zarządzania systemem, istnieje możliwość uzyskania nieautoryzowanego dostępu. Podatność wynika z niewłaściwej kontroli dostępu (CWE-284), co pozwala atakującemu na ominięcie mechanizmów uwierzytelnienia i autoryzacji. Dostęp następuje przez sieć bez konieczności posiadania jakichkolwiek uprawnień ani interakcji po stronie użytkownika.

Skutki

Atakujący może bez uwierzytelnienia zdalnie modyfikować dane przechowywane w systemie oraz uzyskiwać dostęp do poufnych informacji, co zagraża integralności i poufności zarządzanych zasobów storage.

Mitygacja

Należy zaktualizować oprogramowanie do wersji 3.07.23980 lub 4.07.00.25339, które zawierają poprawkę dla tej podatności. Jeśli aktualizacja nie jest możliwa natychmiast, należy rozważyć wyłączenie serwera Redfish lub ograniczenie dostępu do interfejsu zarządzania na poziomie sieci (firewall). Szczegóły dostępne w referencjach producenta.

Kogo dotyczy

Microchip maxView Storage Manager (dla kontrolerów Adaptec Smart Storage) w wersjach od 3.00.23484 do 4.14.00.26064, z wyłączeniem wersji z poprawkami: 3.07.23980 oraz 4.07.00.25339. Dotyczy instalacji z aktywnym serwerem Redfish skonfigurowanym do zdalnego zarządzania systemem.

Uwagi

Podatność dotyczy wyłącznie instalacji, w których serwer Redfish jest skonfigurowany do zdalnego zarządzania systemem — instalacje bez aktywnego serwera Redfish nie są bezpośrednio narażone.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Microchip Maxview Storage Manager

    APP
    Microchip
    3.00.23484 – 4.14.00.26064
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2023-51438CRITICAL10.0PL ✓ten sam produkt

Nieautoryzowany dostęp w maxView Storage Manager via Redfish Server

CVE-2023-23588MEDIUM6.2ten sam produkt

A vulnerability has been identified in SIMATIC IPC1047 (All versions), SIMATIC IPC1047E (All versions with max...

CVE-2026-3010CRITICAL9.3PL ✓ten sam vendor

XSS w Microchip TimePictra – wstrzyknięcie złośliwego skryptu

CVE-2026-2844CRITICAL9.3PL ✓ten sam vendor

Brak uwierzytelnienia dla funkcji krytycznych w Microchip TimePictra

CVE-2024-7490CRITICAL9.5PL ✓ten sam vendor

RCE przez buffer overflow w serwerze DHCP Microchip Advanced Software Framework

CVE-2024-22216 — Nieautoryzowany dostęp w Microchip maxView Storage Manager przez serwer Redfish — CRITICAL 10.0 | CVEbaza.pl