Vulnérabilités dans VNX2 OE de DELL
Date de publication :
VNX2 est une plateforme de stockage unifié qui permet, entre autres, d’être configurée pour les applications virtuelles. Des documentations détaillées sont disponibles ici.
CVE-2021-36294[Score CVSS v3.1: 9.8]
L’authentification dans le système d’exploitation de la plateforme VNX2 de Dell a été identifiée comme vulnérable. Il est possible de contourner la politique de sécurité en utilisant un cookie malveillant. L’exploitation de cette vulnérabilité par un attaquant distant et non authentifié permet de se connecter en tant que n’importe quel utilisateur.
CVE-2021-36289[Score CVSS v3.1: 7.8]
La confidentialité des données sensibles a été signalée comme insuffisante dans la plateforme VNX2 de Dell. L’exploitation de cette vulnérabilité par un attaquant local et authentifié permet la lecture et l’utilisation de données sensibles.
CVE-2021-36295CVE-2021-36296[Score CVSS v3.1: 7.2]
Deux vulnérabilités ont été découvertes dans le système d’exploitation de la plateforme VNX2 de Dell. L’exploitation de ces vulnérabilités par un attaquant distant et authentifié permet l’exécution de code arbitraire sur le système.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
Criticité
- Score CVSS v3.1: 9.8 max
La faille est activement exploitée
- Non, pour l’ensemble des CVE présentés
Un correctif existe
- Oui, pour l’ensemble des CVE présentés
Une mesure de contournement existe
- Oui, pour l’ensemble des CVE présentés
Les vulnérabilités exploitées sont du type
Pour la CVE-2021-36294
- CWE-331 : Insufficient Entropy
Pour la CVE-2021-36289
- CWE-532 : Insertion of Sensitive Information into Log File
Pour la CVE-2021-36295CVE-2021-36296
- CWE-78 : Improper Neutralization of Special Elements used in an OS Command
Détails sur l’exploitation
Pour la CVE-2021-36294
- Vecteur d’attaque : Réseau
- Complexité de l’attaque : Faible
- Privilèges nécessaires pour réaliser l’attaque : Aucun
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non
Pour la CVE-2021-36289
- Vecteur d’attaque : Local
- Complexité de l’attaque : Faible
- Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non
Pour la CVE-2021-36295CVE-2021-36296
- Vecteur d’attaque : Réseau
- Complexité de l’attaque : Faible
- Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur à privilège
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non
Composants vulnérables.
- La version 8.1.21.266 de VNX2 OE For File, ainsi que les versions antérieures.
Plateforme de stockage unifié VNX :
- VNX VG10
- VNX VG50
- VNX 2 Series
- VNX 5200
- VNX 5400
- VNX 5600
- VNX 5800
- VNX 7600
- VNX 8000