Múltiplas Vulnerabilidades Encontradas no HP Insight Diagnostics

Agora é a vez da Hewlett Packard. Várias vulnerabilidades foram encontradas escondidas no Insight Diagnostics, uma aplicação de gerenciamento de servidor da empresa. Quando combinadas entre si, as brechas podem permitir que um atacante execute código PHP arbitrário com poderes administrativos nos servidores. E até onde se sabe, (ainda) não existe um patch para corrigir essa vulnerabilidade. As vulnerabilidades, identificadas como CVE-2013-3573, CVE-2013-3574 e CVE-2013-3575, existem na versão 9.4.0.4710 do Insight Diagnostics, e possivelmente em suas versões anteriores. Um atacante remoto iria precisar ser autenticado para que as vulnerabilidades em conjunto pudessem ser exploradas.


As brechas foram encontradas por Markus Wulftange da Daimler TSS, que gravou e relatou as falhas para o fabricante. Como ainda não existe uma correção disponível para essa vulnerabilidade, o US-CERT alerta para que os usuários sigam as boas práticas de segurança e restrinjam o acesso as suas redes para o software, permitindo conexões apenas de hosts e redes confiáveis.

Saiba Mais:

- Heise Online: Multiple vulnerabilities found in HP Insight Diagnostics (em Inglês)