GE corrige trois vulnérabilités sur ses produits MDS PulseNET

Des vulnérabilités ont été identifiées dans MDS PulsNET, un outil de gestion et surveillance des équipements réseaux. L'exploitation de ces vulnérabilités pourrait mener à l'élévation de privilèges, l'exécution de code arbitraire ou l'exfiltration et la suppression des données de la plateforme hôte :

  • CVE-2018-10611 [CVSS 7.3]: le port d'entrée Java Remote Method Invocation (RMI) pourrait être exploité par des attaquants non authentifiés pour lancer des applications et exécuter du code via des services web ;

  • CVE-2018-10613 [CVSS 5.3]: une vulnérabilité dans l'analyse des entrées XML rendrait possible des attaques de type XML External Entity (XXE) dont l'exploitation permettrait d'exfiltrer des données ;

  • CVE-2018-10615 [CVSS 4.3]: une vulnérabilité de path traversal relative dont l'exploitation permettrait de supprimer ou supprimer des données.

Informations
+

Impact

  • Elévation de privilèges;

  • Exécution de code arbitraire à distance;

  • Exfiltration ou suppression des données de la plateforme hôte;

Criticité

  • CVSS v3 : 7.3

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

GE signale que les vulnérabilités affectent les produits MDS PulseNET suivants:

  • PulseNET, versions 3.2.1 et antérieures ;

  • PulseNET, Enterprise version 3.2.1 et ses antérieures.

CVE

  • CVE-2018-10611
  • CVE-2018-10613
  • CVE-2018-10615

Recommandations
+

Correctifs

  • Les vulnérabilités sont corrigées à partir de la version 4.1 de PulseNET.

Solution de contournement

  • Il n'existe actuellement pas de solution de contournement.