CRITICAL✓ PATCH🇬🇧 English

CVE-2025-26512

NetApp SnapCenter — eskalacja uprawnień do administratora systemu zdalnego

CVSS 9.9v3.1pub. 2025-03-24upd. 2026-01-16

Podatność w NetApp SnapCenter umożliwia uwierzytelnionemu użytkownikowi serwera SnapCenter uzyskanie uprawnień administratora na zdalnym systemie, gdzie zainstalowano wtyczkę SnapCenter. Ze względu na wysoki wynik CVSS (9.9) i zakres wpływu obejmujący poufność, integralność oraz dostępność, podatność stanowi poważne zagrożenie dla środowisk korporacyjnych.

Pokaż oryginał (EN)

SnapCenter versions prior to 6.0.1P1 and 6.1P1 are susceptible to a vulnerability which may allow an authenticated SnapCenter Server user to become an admin user on a remote system where a SnapCenter plug-in has been installed.

🤖 Analiza AI
Jak działa

Podatność jest związana z nieprawidłową obsługą uprawnień (CWE-266), co pozwala uwierzytelnionemu użytkownikowi SnapCenter Server na uzyskanie nieautoryzowanych uprawnień administracyjnych na zdalnych hostach zarządzanych przez wtyczki SnapCenter. Atakujący nie potrzebuje interakcji ze strony innego użytkownika ani szczególnie wysokich uprawnień wyjściowych — wystarczy posiadanie zwykłego konta w SnapCenter Server. Zakres ataku wykracza poza komponent źródłowy (S:C), co oznacza możliwość wpływu na systemy zewnętrzne względem samego serwera SnapCenter.

Skutki

Atakujący może przejąć pełną kontrolę administracyjną nad zdalnymi systemami, na których zainstalowano wtyczki SnapCenter, co prowadzi do całkowitego naruszenia poufności, integralności i dostępności tych systemów.

Mitygacja

Należy zaktualizować NetApp SnapCenter do wersji 6.0.1P1 lub 6.1P1 (w zależności od używanej gałęzi). Szczegółowe instrukcje dostępne są w oficjalnym biuletynie bezpieczeństwa NetApp pod adresem https://security.netapp.com/advisory/NTAP-20250324-0001.

Kogo dotyczy

NetApp SnapCenter w wersjach wcześniejszych niż 6.0.1P1 oraz 6.1P1.

Uwagi

Podatność została ujawniona przez NetApp w biuletynie bezpieczeństwa NTAP-20250324-0001 opublikowanym 24 marca 2025 roku.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Netapp Snapcenter

    APP
    Netapp
    6.0.16.1< 6.0.1
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2021-44228CRITICAL10.0⚠ KEVten sam produkt

Apache Log4j2 2.0-beta9 through 2.15.0 (excluding security releases 2.12.2, 2.12.3, and 2.3.1) JNDI features u...

CVE-2023-1096CRITICAL9.8ten sam produkt

SnapCenter versions 4.7 prior to 4.7P2 and 4.8 prior to 4.8P1 are susceptible to a vulnerability which could a...

CVE-2022-33980CRITICAL9.8ten sam produkt

Apache Commons Configuration performs variable interpolation, allowing properties to be dynamically evaluated ...

CVE-2022-2274CRITICAL9.8ten sam produkt

The OpenSSL 3.0.4 release introduced a serious bug in the RSA implementation for X86_64 CPUs supporting the AV...

CVE-2021-3711CRITICAL9.8ten sam produkt

In order to decrypt SM2 encrypted data an application is expected to call the API function EVP_PKEY_decrypt()....