Podatność w NetApp SnapCenter umożliwia uwierzytelnionemu użytkownikowi serwera SnapCenter uzyskanie uprawnień administratora na zdalnym systemie, gdzie zainstalowano wtyczkę SnapCenter. Ze względu na wysoki wynik CVSS (9.9) i zakres wpływu obejmujący poufność, integralność oraz dostępność, podatność stanowi poważne zagrożenie dla środowisk korporacyjnych.
▸ Pokaż oryginał (EN)
SnapCenter versions prior to 6.0.1P1 and 6.1P1 are susceptible to a vulnerability which may allow an authenticated SnapCenter Server user to become an admin user on a remote system where a SnapCenter plug-in has been installed.
Podatność jest związana z nieprawidłową obsługą uprawnień (CWE-266), co pozwala uwierzytelnionemu użytkownikowi SnapCenter Server na uzyskanie nieautoryzowanych uprawnień administracyjnych na zdalnych hostach zarządzanych przez wtyczki SnapCenter. Atakujący nie potrzebuje interakcji ze strony innego użytkownika ani szczególnie wysokich uprawnień wyjściowych — wystarczy posiadanie zwykłego konta w SnapCenter Server. Zakres ataku wykracza poza komponent źródłowy (S:C), co oznacza możliwość wpływu na systemy zewnętrzne względem samego serwera SnapCenter.
Atakujący może przejąć pełną kontrolę administracyjną nad zdalnymi systemami, na których zainstalowano wtyczki SnapCenter, co prowadzi do całkowitego naruszenia poufności, integralności i dostępności tych systemów.
Należy zaktualizować NetApp SnapCenter do wersji 6.0.1P1 lub 6.1P1 (w zależności od używanej gałęzi). Szczegółowe instrukcje dostępne są w oficjalnym biuletynie bezpieczeństwa NetApp pod adresem https://security.netapp.com/advisory/NTAP-20250324-0001.
NetApp SnapCenter w wersjach wcześniejszych niż 6.0.1P1 oraz 6.1P1.
Podatność została ujawniona przez NetApp w biuletynie bezpieczeństwa NTAP-20250324-0001 opublikowanym 24 marca 2025 roku.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:HNetapp Snapcenter
APPNetapp6.0.16.1< 6.0.1
Powiązane podatności
Apache Log4j2 2.0-beta9 through 2.15.0 (excluding security releases 2.12.2, 2.12.3, and 2.3.1) JNDI features u...
SnapCenter versions 4.7 prior to 4.7P2 and 4.8 prior to 4.8P1 are susceptible to a vulnerability which could a...
Apache Commons Configuration performs variable interpolation, allowing properties to be dynamically evaluated ...
The OpenSSL 3.0.4 release introduced a serious bug in the RSA implementation for X86_64 CPUs supporting the AV...
In order to decrypt SM2 encrypted data an application is expected to call the API function EVP_PKEY_decrypt()....