Hewlett Packard Enterprise (HPE) telah merilis pembaruan keamanan untuk mengatasi sebanyak delapan kerentanan dalam solusi cadangan data dan deduplikasi yang dapat menghasilkan bypass otentikasi dan eksekusi kode jarak jauh.
“Kerentanan ini dapat dieksploitasi dari jarak jauh untuk memungkinkan eksekusi kode jarak jauh, pengungkapan informasi, pemalsuan permintaan sisi server, bypass otentikasi, penghapusan file sewenang-wenang, dan kerentanan pengungkapan informasi traversal direktori,” kata HPE dalam sebuah saran.
Ini termasuk perbaikan untuk cacat keamanan kritis yang dilacak sebagai CVE-2025-37093, yang diberi peringkat 9,8 pada sistem penilaian CVSS. Ini telah digambarkan sebagai bug bypass otentikasi yang mempengaruhi semua versi perangkat lunak sebelum 4.3.11. Kerentanan, bersama dengan yang lain, dilaporkan kepada vendor pada 31 Oktober 2024.
Menurut The Zero Day Initiative (ZDI), yang memuji peneliti anonim untuk menemukan dan melaporkan kekurangan, mengatakan masalahnya berakar pada implementasi metode Machineaccountcheck.
“Masalah hasil dari implementasi algoritma otentikasi yang tidak tepat,” kata ZDI. “Seorang penyerang dapat memanfaatkan kerentanan ini untuk memotong otentikasi pada sistem.”
Eksploitasi CVE-2025-37093 yang berhasil dapat memungkinkan penyerang jarak jauh untuk memotong otentikasi pada instalasi yang terpengaruh. Apa yang membuat kerentanan lebih parah adalah bahwa itu dapat dirantai dengan kelemahan yang tersisa untuk mencapai eksekusi kode, pengungkapan informasi, dan penghapusan file yang sewenang -wenang dalam konteks root –
- CVE-2025-37089-Eksekusi Kode Jarak Jauh
- CVE-2025-37090-Pemalsuan Permintaan Sisi Server
- CVE-2025-37091-Eksekusi Kode Jarak Jauh
- CVE-2025-37092-Eksekusi Kode Jarak Jauh
- CVE-2025-37093-Bypass Otentikasi
- CVE-2025-37094-Penghapusan File Traversal Direktori
- CVE-2025-37095-Pengungkapan Informasi Traversal Direktori
- CVE-2025-37096-Eksekusi Kode Jarak Jauh
The disclosure comes as HPE also shipped patches to address multiple critical-severity flaws in HPE Telco Service Orchestrator (CVE-2025-31651, CVSS score: 9.8) and OneView (CVE-2024-38475, CVE-2024-38476, CVSS scores: 9.8) to address previously disclosed weaknesses in Apache Tomcat and Server Apache HTTP.
Meskipun tidak ada laporan eksploitasi aktif, penting bagi pengguna menerapkan pembaruan terbaru untuk perlindungan optimal.
