Vulnérabilité critique dans Dell EMC Unisphere et Dell EMC PowerMax OS

Une vulnérabilité critique a été découverte dans Dell EMC Unisphere et Dell EMC PowerMax OS qui permet à un attaquant d'injecter du code à distance.

CVE-2019-18588 [Score CVSS v3 : 9.0] : Une vulnérabilité dans Dell EMC Unisphere for PowerMax et Dell EMC PowerMax OS permet à un attaquant distant authentifié d'effectuer des attaques d'injection de code JavaScript à travers une faille XSS (Cross Site Scripting). L'exploitation de cette vulnérabilité permet de manipuler la session d'un autre utilisateur et d'effectuer des actions en son nom à son insu.

Les détails techniques de l’exploitation n'ont pas été donnés mais la complexité a été annoncée comme faible avec un fort impact sur la confidentialité, l'intégrité et la disponibilité.

Informations
+

Risques

  • Exécution de code à distance.  

Criticité

  • Score CVSS v3 : 9.0

Existence d’un code d‘exploitation

  • Aucun code d'exploitation n'est actuellement disponible.

Composants vulnérables

  • Unisphere pour PowerMax versions antérieures à 9.1.0.9
  • Unisphere pour PowerMax versions antérieures à 9.0.2.16
  • PowerMax OS Release 5978

CVE

  • CVE-2019-18588

Recommandations
+

Mise en place de correctifs de sécurité

  • Mettre à jour Unisphere pour PowerMax 9.1 à la version 9.1.0.9 ou à une version plus récente. 
  • Mettre à jour Unisphere pour  PowerMax 9.0 à la version 9.0.2.16 ou à une version plus récente.
  • Demander le correctif pour le système embarqué PowerMax OS Release 5978 auprès du support client Dell EMC.

Solution de contournement

Aucune solution de contournement n'a été identifiée pour le moment