Birden fazla depolama platformunu etkileyen kritik bir ayrıcalık yükseltme güvenlik açığı, uzaktaki saldırganların fiziksel etkileşim olmadan yönetim erişimi elde etmesine olanak tanıyabilir.
CVE-2026-23594 olarak takip edilen kusur, güvenlik açığı bulunan ürün yazılımı sürümlerini çalıştıran HPE Alletra 6000, Alletra 5000 ve Nimble Storage dizilerini etkiliyor.
Güvenlik açığı, etkilenen depolama işletim sistemlerinin belirli yapılandırmalarında mevcuttur ve yararlanıldığında uzaktan ayrıcalık yükseltmeye olanak tanır.
CVSS v3.1 puanı 8,8 (Yüksek) olan kusur, saldırı karmaşıklığının düşük olmasını ve yalnızca düşük düzey ayrıcalıklardan yararlanılmasını gerektiriyor; bu da onu özellikle depolama sistemlerinin ağ üzerinden erişilebildiği kurumsal ortamlar için tehlikeli hale getiriyor.
| CVE Kimliği | CVSS 3.1 Vektör | CVSS Puanı | Şiddet | Etki Türü | Saldırı Vektörü |
|---|---|---|---|---|---|
| CVE-2026-23594 | CVSS: 3.1/AV: n/Ac: l/pr: l/ui: n/s: u/c: h/i: h/a: h | 8.8 | Yüksek | Uzaktan Ayrıcalık Yükseltmesi | ağ |
HPE’nin güvenlik bülteni HPESBST04995’e göre başarılı bir şekilde yararlanma, saldırganlara gizlilik, bütünlük ve kullanılabilirlik açısından yüksek etki sağlayarak sistemin tamamının ele geçirilmesini etkili bir şekilde sağlar.
Saldırı vektörü, kullanıcı etkileşimi gerektirmeyen ağ tabanlıdır ve tehdit aktörlerinin sınırlı kullanıcı hesaplarından tam yönetim kontrolüne geçmesine olanak tanır.
Etkilenen Ürünler ve Sürümler
Güvenlik açığı, yamalı sürümlerden önce Array OS sürümlerini çalıştıran birden fazla HPE depolama ürün grubunu etkiliyor.
Aşağıdaki platformları kullanan kuruluşların iyileştirmeye öncelik vermesi gerekir:
| Ürün | Etkilenen Sürümler |
|---|---|
| HPE Alletra 6000 | < 6.1.2.8006.1.3 < 6.1.3.300 |
| HPE Alletra 5000 | < 6.1.2.8006.1.3 < 6.1.3.300 |
| Çevik Depolama Hibrit Flash | < 6.1.2.8006.1.3 < 6.1.3.300 |
| Çevik Depolama Tümü Flash | < 6.1.2.8006.1.3 < 6.1.3.300 |
HPE, ayrıcalık yükseltme kusurunu gidermek için 20 Ocak 2026’da güvenlik yamaları yayınladı.
Yöneticiler, savunmasız sistemleri derhal aşağıdaki yamalı sürümlerden birine yükseltmelidir: Alletra OS 6.1.2.800, Alletra OS 6.1.3.300.
Yamalar, ayrıcalık artışına izin veren yapılandırma zayıflığını ortadan kaldırarak depolama yönetimi arayüzünde uygun erişim kontrollerini geri yükler.
Kurumsal depolama sistemleri sıklıkla iş açısından kritik veriler içerir ve üretim ortamları için tek arıza noktası olarak hizmet eder.
Yetkisiz yönetim erişimi, saldırganların hassas bilgileri sızdırmasına, fidye yazılımı dağıtmasına veya veri merkezlerinin tamamındaki depolama işlemlerini kesintiye uğratmasına olanak sağlayabilir.
Kuruluşlar bu güvenlik açığını yüksek öncelikli olarak ele almalı ve değişiklik yönetimi prosedürlerine uygun olarak yamaları dağıtmalıdır.
HPE, müşterilerin yerleşik yama yönetimi politikalarına uygun olarak üçüncü taraf güvenlik yamalarını uygulamalarını ve uygulama konusunda yardım için HPE Hizmetleri desteğiyle iletişime geçmelerini önerir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
