W HPE AutoPass License Server (APLS) istnieje krytyczna podatność umożliwiająca zdalne ominięcie mechanizmu uwierzytelnienia. Ocena CVSS 10.0 oznacza maksymalne ryzyko — atakujący bez żadnych uprawnień może uzyskać pełny dostęp do systemu przez sieć.
▸ Pokaż oryginał (EN)
A remote authentication bypass vulnerability exists in HPE AutoPass License Server (APLS).
Podatność sklasyfikowana jako CWE-287 (Improper Authentication) polega na nieprawidłowej implementacji mechanizmu weryfikacji tożsamości w HPE AutoPass License Server. Atakujący zdalny, nieuwierzytelniony może ominąć wymagane kroki uwierzytelnienia i uzyskać dostęp do chronionych zasobów serwera. Atak nie wymaga interakcji użytkownika ani spełnienia dodatkowych warunków wstępnych.
Atakujący może uzyskać nieautoryzowany dostęp do HPE AutoPass License Server z potencjalnie pełnymi uprawnieniami, co może prowadzić do naruszenia poufności, integralności i dostępności zarówno samego systemu, jak i powiązanej infrastruktury.
Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbgn05003en_us&docLocale=en_US
HPE AutoPass License Server (APLS) — szczegółowe informacje o wersjach wskazane w referencjach producenta
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X