Podatność w domyślnych instalacjach Microchip maxView Storage Manager umożliwia nieautoryzowany dostęp do systemu zarządzania magazynem danych poprzez skonfigurowany serwer Redfish. Zagrożenie jest krytyczne, ponieważ atakujący zdalnie i bez uwierzytelnienia może modyfikować dane oraz uzyskiwać dostęp do poufnych informacji.
▸ Pokaż oryginał (EN)
In default installations of Microchip maxView Storage Manager (for Adaptec Smart Storage Controllers) where Redfish server is configured for remote system management, unauthorized access can occur, with data modification and information disclosure. This affects 3.00.23484 through 4.14.00.26064 (except for the patched versions 3.07.23980 and 4.07.00.25339).
W domyślnych konfiguracjach oprogramowania maxView Storage Manager, gdzie serwer Redfish jest aktywowany do zdalnego zarządzania systemem, istnieje możliwość uzyskania nieautoryzowanego dostępu. Podatność wynika z niewłaściwej kontroli dostępu (CWE-284), co pozwala atakującemu na ominięcie mechanizmów uwierzytelnienia i autoryzacji. Dostęp następuje przez sieć bez konieczności posiadania jakichkolwiek uprawnień ani interakcji po stronie użytkownika.
Atakujący może bez uwierzytelnienia zdalnie modyfikować dane przechowywane w systemie oraz uzyskiwać dostęp do poufnych informacji, co zagraża integralności i poufności zarządzanych zasobów storage.
Należy zaktualizować oprogramowanie do wersji 3.07.23980 lub 4.07.00.25339, które zawierają poprawkę dla tej podatności. Jeśli aktualizacja nie jest możliwa natychmiast, należy rozważyć wyłączenie serwera Redfish lub ograniczenie dostępu do interfejsu zarządzania na poziomie sieci (firewall). Szczegóły dostępne w referencjach producenta.
Microchip maxView Storage Manager (dla kontrolerów Adaptec Smart Storage) w wersjach od 3.00.23484 do 4.14.00.26064, z wyłączeniem wersji z poprawkami: 3.07.23980 oraz 4.07.00.25339. Dotyczy instalacji z aktywnym serwerem Redfish skonfigurowanym do zdalnego zarządzania systemem.
Podatność dotyczy wyłącznie instalacji, w których serwer Redfish jest skonfigurowany do zdalnego zarządzania systemem — instalacje bez aktywnego serwera Redfish nie są bezpośrednio narażone.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HMicrochip Maxview Storage Manager
APPMicrochip3.00.23484 – 4.14.00.26064
Powiązane podatności
Nieautoryzowany dostęp w maxView Storage Manager via Redfish Server
A vulnerability has been identified in SIMATIC IPC1047 (All versions), SIMATIC IPC1047E (All versions with max...
XSS w Microchip TimePictra – wstrzyknięcie złośliwego skryptu
Brak uwierzytelnienia dla funkcji krytycznych w Microchip TimePictra
RCE przez buffer overflow w serwerze DHCP Microchip Advanced Software Framework