HPE geeft beveiligingspatch uit voor storeonce bug waardoor externe authenticatie -bypass mogelijk is

Cyberbeveiliging
HPE Issues Security Patch

Hewlett Packard Enterprise (HPE) heeft beveiligingsupdates vrijgegeven om maar liefst acht kwetsbaarheden aan te pakken in de Back -up van de Storeonce -gegevensback -up en de deduplicatie -oplossing die zou kunnen leiden tot een authenticatie -bypass en externe uitvoering op afstand.

“Deze kwetsbaarheden kunnen op afstand worden benut om externe code-uitvoering, openbaarmaking van informatie, server-side aanvraagverzoek, authenticatie-bypass, willekeurige bestandsverwijdering en directory traversale informatie-informatie-kwetsbaarheden toe te staan,” zei HPE in een advies.

Dit omvat een oplossing voor een kritieke beveiligingsfout die wordt gevolgd als CVE-2025-37093, die 9,8 wordt beoordeeld op het scoresysteem van CVSS. Het is beschreven als een authenticatie -bypass -bug die alle versies van de software vóór 4.3.11 beïnvloedt. De kwetsbaarheid, samen met de rest, werd op 31 oktober 2024 aan de verkoper gemeld.

Volgens het Zero Day Initiative (ZDI), dat een anonieme onderzoeker heeft gecrediteerd voor het ontdekken en rapporteren van de tekortkoming, zei dat het probleem is geworteld in de implementatie van de MachineAccountCheck -methode.

“Het probleem is het gevolg van onjuiste implementatie van een authenticatie -algoritme,” zei ZDI. “Een aanvaller kan deze kwetsbaarheid gebruiken om authenticatie op het systeem te omzeilen.”

Succesvolle exploitatie van CVE-2025-37093 kan een externe aanvaller toestaan ​​om authenticatie op getroffen installaties te omzeilen. Wat de kwetsbaarheid ernstiger maakt, is dat het kan worden geketend aan de resterende fouten om code -uitvoering, informatie -openbaarmaking en willekeurige bestandsverwijdering te bereiken in de context van root –

  • CVE-2025-37089-Uitvoering op afstand code
  • CVE-2025-37090-Server-side aanvraag vervalsing
  • CVE-2025-37091-Externe code-uitvoering
  • CVE-2025-37092-Uitvoering op afstand code
  • CVE-2025-37093-Authentication Bypass
  • CVE-2025-37094-Directory Traversal Arbitrary File Deletion
  • CVE-2025-37095-DIRECTORY TRAVERSAVER INFORMATIE OPLOISING
  • CVE-2025-37096-Uitvoering op afstand code

De openbaarmaking wordt geleverd als HPE ook patches heeft verzonden om meerdere fouten voor kritische weergave aan te pakken in HPE Telco Service Orchestrator (CVE-2025-31651, CVSS SCORE: 9.8) en OneView (CVE-2014-38475, CVE-2024-38476, CVSS SCOORS: 9.8) TO ADROSE TOMCAT SWAKKES: 9.8) TOEPACE TOMCAT en eerder bekend Apache HTTP -server.

Hoewel er geen meldingen zijn over actieve uitbuiting, is het essentieel dat gebruikers de nieuwste updates toepassen voor optimale bescherming.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Google Pixel 9 Prijs en waar te kopen

Het volgende besturingssysteem van Apple kan een grote UI -revisie zijn

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]