Vulnérabilité critique dans Dell EMC Unisphere et Dell EMC PowerMax OS
Date de publication :
Une vulnérabilité critique a été découverte dans Dell EMC Unisphere et Dell EMC PowerMax OS qui permet à un attaquant d'injecter du code à distance.
CVE-2019-18588 [Score CVSS v3 : 9.0] : Une vulnérabilité dans Dell EMC Unisphere for PowerMax et Dell EMC PowerMax OS permet à un attaquant distant authentifié d'effectuer des attaques d'injection de code JavaScript à travers une faille XSS (Cross Site Scripting). L'exploitation de cette vulnérabilité permet de manipuler la session d'un autre utilisateur et d'effectuer des actions en son nom à son insu.
Les détails techniques de l’exploitation n'ont pas été donnés mais la complexité a été annoncée comme faible avec un fort impact sur la confidentialité, l'intégrité et la disponibilité.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code à distance.
Criticité
- Score CVSS v3 : 9.0
Existence d’un code d‘exploitation
- Aucun code d'exploitation n'est actuellement disponible.
Composants vulnérables
- Unisphere pour PowerMax versions antérieures à 9.1.0.9
- Unisphere pour PowerMax versions antérieures à 9.0.2.16
- PowerMax OS Release 5978
CVE
- CVE-2019-18588
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour Unisphere pour PowerMax 9.1 à la version 9.1.0.9 ou à une version plus récente.
- Mettre à jour Unisphere pour PowerMax 9.0 à la version 9.0.2.16 ou à une version plus récente.
- Demander le correctif pour le système embarqué PowerMax OS Release 5978 auprès du support client Dell EMC.
Solution de contournement
Aucune solution de contournement n'a été identifiée pour le moment