據外媒消息稱,戴爾EMC在VMAX企業存儲系統的管理界面有6個漏洞,可能導致敏感文件的曝光或一個完整的系統妥協,這是很可怕的漏洞漏洞,可以遠程,未經認證進行攻擊,可以利用這些漏洞完全破壞系統。
其中關鍵的一個漏洞位于Unisphere在VMAX企業存儲陣列,它提供了一個基于Web的管理界面來配置,管理和監控這些系統的設備。
更具體的漏洞是在GraniteDS庫,提供了Unisphereweb應用程序基于閃存的一部分的服務器端的支持。據安全漏洞管理公司Digital國防研究人員稱,這個問題使得非授權用戶從具有root權限的虛擬設備檢索任意文本文件。
該數字防御研究人員說,另一個關鍵漏洞固定在Unisphere中vApp的管理器應用程序里,它運行在端口5480.此應用程序有一個名為GetSymmCmdCommand類,通過它,攻擊者可以無需驗證執行任意命令,這個漏洞的成功利用可能導致執行任意命令以獲得root權限,添加新的管理員用戶的行為。
其他三個漏洞也是vApp的,并評為具有非常嚴重的漏洞,因為它們需要身份驗證漏洞。但是,所有的人都允許以低特權用戶執行任意命令,可能導致整個系統的癱瘓,從而破壞系統任意文件。
京公網安備 11010502049343號