HPE Sorunları Güvenlik Yaması Uzak Kimlik Doğrulama Bypass’a izin veriyor

   Haziran 4, 2025  Posted in TheHackerNews


04 Haz, 2025Hacker HaberleriGüvenlik Açığı / DevOps

HPE Güvenlik Yaması

Hewlett Packard Enterprise (HPE), StoreOnce veri yedeklemesinde ve bir kimlik doğrulama baypası ve uzaktan kod yürütme ile sonuçlanabilecek tekilleştirme çözümünde sekiz kadar güvenlik açıkını ele almak için güvenlik güncellemeleri yayınladı.

HPE, “Bu güvenlik açıkları, uzaktan kod yürütülmesine, bilgilerin ifşa edilmesine, sunucu tarafı isteğine, kimlik doğrulama baypasına, keyfi dosya silinmesine ve dizin geçiş bilgilerinin açıklama güvenlik açıklarına izin vermek için uzaktan kullanılabilir.” Dedi.

Bu, CVSS puanlama sisteminde 9.8 olarak derecelendirilen CVE-2025-37093 olarak izlenen kritik bir güvenlik kusuru için bir düzeltme içerir. 4.3.11’den önce yazılımın tüm sürümlerini etkileyen bir kimlik doğrulama baypas hatası olarak tanımlanmıştır. Güvenlik açığı, geri kalanı ile birlikte 31 Ekim 2024’te satıcıya bildirildi.

Siber güvenlik

Anonim bir araştırmacıya eksikliği keşfetmek ve raporlamak için kredilendiren Sıfır Günü Girişimi’ne (ZDI) göre, sorunun MachineAccountCheck yönteminin uygulanmasından kaynaklandığını söyledi.

ZDI, “Sorun, bir kimlik doğrulama algoritmasının yanlış uygulanmasından kaynaklanıyor.” Dedi. “Bir saldırgan, sistemdeki kimlik doğrulamasını atlamak için bu güvenlik açığından yararlanabilir.”

CVE-2025-37093’ün başarılı bir şekilde kullanılması, uzak bir saldırganın etkilenen kurulumlarda kimlik doğrulamasını atlamasına izin verebilir. Güvenlik açığını daha şiddetli kılan şey, kod yürütme, bilgi ifşası ve rasgele dosya silme işlemini elde etmek için kalan kusurlarla zincirlenebilmesidir –

  • CVE-2025-37089-Uzak Kod Yürütme
  • CVE-2025-37090-Sunucu tarafı isteği AMACHERİ
  • CVE-2025-37091-Uzak Kod Yürütme
  • CVE-2025-37092-Uzak Kod Yürütme
  • CVE-2025-37093-Kimlik Doğrulama Bypass
  • CVE-2025-37094-Dizin Traversal Rasgele Dosya Silinmesi
  • CVE-2025-37095-Dizin Traversal Bilgileri Açıklama
  • CVE-2025-37096-Uzak Kod Yürütme
Siber güvenlik

Açıklama, HPE’nin HPE Telco Service Orkestratöründe (CVE-2024-38475 (CVE-2024-38475 (CVE-2024-38475, CVE-2024-38475, CVE-2024-38475, CVSS scores: 9.8), daha önce ele alarak çok sayıda kritik-yüzlük kusurunu ele almak için gönderilen yamalar olarak gelir. ve Apache HTTP Sunucusu.

Aktif sömürü raporu olmasa da, kullanıcıların en son güncellemeleri optimum koruma için uygulamaları önemlidir.

Bu makaleyi ilginç mi buldunuz? Bu makale, değerli ortaklarımızdan birinin katkıda bulunan bir parçasıdır. Bizi takip edin Twitter ve daha fazla özel içeriği okumak için LinkedIn.





Source link