CRITICAL✓ PATCH🇬🇧 English

CVE-2023-39245

Dell ESI for SAP LAMA – ujawnienie danych uwierzytelniających przez sieć (EHAC)

CVSS 9.8v3.1pub. 2024-02-15upd. 2025-01-23

Dell Enterprise Storage Integrator (ESI) for SAP LAMA w wersji 10.0 zawiera podatność na ujawnienie informacji w komponencie EHAC, polegającą na przesyłaniu poufnych danych przez niezaszyfrowany kanał. Zdalny, nieuwierzytelniony atakujący może przechwycić ruch sieciowy i uzyskać dane uwierzytelniające na poziomie administratora.

Pokaż oryginał (EN)

DELL ESI (Enterprise Storage Integrator) for SAP LAMA, version 10.0, contains an information disclosure vulnerability in EHAC component. An remote unauthenticated attacker could potentially exploit this vulnerability by eavesdropping the network traffic to gain admin level credentials.

🤖 Analiza AI
Jak działa

Podatność wynika z przesyłania wrażliwych informacji (w tym danych logowania) bez odpowiedniego szyfrowania (CWE-319 – Cleartext Transmission of Sensitive Information). Atakujący znajdujący się w stanie podsłuchu sieci (eavesdropping) może przechwycić transmisję i odczytać z niej dane uwierzytelniające administratora. Nie jest wymagana żadna autoryzacja ani interakcja użytkownika po stronie ofiary.

Skutki

Atakujący może uzyskać dane uwierzytelniające na poziomie administratora, co w praktyce oznacza pełne przejęcie kontroli nad środowiskiem Dell ESI for SAP LAMA — prowadząc do naruszenia poufności, integralności oraz dostępności danych i systemów zarządzanych przez to oprogramowanie.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — Dell opublikował aktualizację bezpieczeństwa DSA-2023-299 dostępną pod adresem: https://www.dell.com/support/kbdoc/en-us/000216654/

Kogo dotyczy

Dell Enterprise Storage Integrator (ESI) for SAP LAMA, wersja 10.0

Uwagi

Podatność opublikowana przez Dell w ramach biuletynu DSA-2023-299, dotyczy wielu podatności jednocześnie. Mimo braku w CISA KEV, wysoki wynik CVSS 9.8 oraz brak wymagań wstępnych (nieuwierzytelniony, zdalny dostęp) uzasadniają pilne wdrożenie łatki.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Dell Enterprise Storage Integrator For Sap Landscape Management

    APP
    Dell
    < 10.0.0.0
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2023-39244HIGH7.3ten sam produkt

DELL ESI (Enterprise Storage Integrator) for SAP LAMA, version 10.0, contains an information disclosure vulner...

CVE-2026-22769CRITICAL10.0⚠ KEVPL ✓ten sam vendor

Dell RecoverPoint for VMs — zahardkodowane dane uwierzytelniające (RCE, root)

CVE-2026-41120CRITICAL9.8PL ✓ten sam vendor

RCE w Dell Wyse Management Suite — akceptacja niezaufanych danych

CVE-2026-40636CRITICAL9.8PL ✓ten sam vendor

Dell ECS / ObjectScale — podatność hard-coded credentials umożliwiająca dostęp do systemu plików

CVE-2025-46608CRITICAL9.1PL ✓ten sam vendor

Nieprawidłowa kontrola dostępu w Dell Data Lakehouse — Elevation of Privileges