Produkt | Infrastructure Manager: Advanced Edition V2.8.0.060 Infrastructure Manager: Advanced Edition for PRIMEFLEX V2.8.0.060 Infrastructure Manager: Essential Edition V2.8.0.060 |
Numer CVE | CVE-2023-39903 |
Krytyczność | 5.9/10 |
CVSS | AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N |
Opis | W programie Fujitsu Software Infrastructure Manager (ISM) przed wersją 2.8.0.061 wykryto problem. Komponent ismsnap (w tym konkretnym przypadku pod adresem /var/log/fujitsu/ServerViewSuite/ism/FirmwareManagement/FirmwareManagement.log) umożliwia niebezpieczne gromadzenie i przechowywanie danych autoryzacyjnych w postaci zwykłego tekstu. Dzieje się tak, gdy użytkownicy przeprowadzają dowolny test konfiguracji adresu repozytorium systemu sprzętowego ISM (Test połączenia) lub regularnie autoryzują się w odniesieniu do już skonfigurowanej zdalnej witryny repozytorium systemu sprzętowego, zgodnie z ustawieniem w Adresie repozytorium systemu sprzętowego ISM. Uprzywilejowana osoba atakująca jest zatem w stanie potencjalnie zebrać powiązane dane konserwacyjne ismsnap w taki sam sposób, w jaki zaufana strona może eksportować dane ismsnap z ISM. Warunki wstępne, aby instalacja ISM była ogólnie podatna na ataki, to włączenie i skonfigurowanie funkcji pobierania systemu sprzętowego (serwera repozytorium systemu sprzętowego) oraz użycie znaku \ (ukośnika odwrotnego) w poświadczeniu użytkownika (tj. identyfikatorze użytkownika lub haśle) zdalny serwer proxy / serwer repozytorium systemu sprzętowego. |
Aktualizacja | TAK |
Link | https://www.cisa.gov/news-events/ics-advisories/icsa-23-255-02 |