Компания Hewlett Packard Enterprise (HPE) выпустила обновления для устранения восьми уязвимостей в решении StoreOnce для резервного копирования и дедупликации данных. Уязвимости могли привести к обходу аутентификации и удаленному выполнению кода:

  • CVE-2025-37089 — удаленное выполнение кода;
  • CVE-2025-37090 — подделка запросов на стороне сервера (SSRF);
  • CVE-2025-37091 — удаленное выполнение кода;
  • CVE-2025-37092 — удаленное выполнение кода;
  • CVE-2025-37093 — обход аутентификации;
  • CVE-2025-37094 — обход каталога и удаление произвольных файлов;
  • CVE-2025-37095 — раскрытие информации через обход каталога;
  • CVE-2025-37096 — удаленное выполнение кода.

«Данные уязвимости могут использоваться для удаленного выполнения кода, раскрытия информации, подделки запросов на стороне сервера (SSRF), обхода аутентификации, произвольного удаления файлов и раскрытия информации об обращении к каталогам», — сообщили разработчики HPE.

Наиболее серьезной среди исправленных проблем является критический баг CVE-2025-37093 (9,8 балла по шкале CVSS). Эта ошибка обхода аутентификации затрагивала все версии StoreOnce вплоть до 4.3.11.

По данным аналитиков Trend Micro Zero Day Initiative (ZDI), уязвимость обнаружил анонимный исследователь, и корень проблемы кроется в реализации метода machineAccountCheck.

«Проблема возникает из-за неправильной имплементации алгоритма аутентификации. Злоумышленник может использовать эту уязвимость для обхода аутентификации в системе», — пишут в ZDI.

Успешная эксплуатация CVE-2025-37093 позволяет удаленному злоумышленнику полностью обойти аутентификацию на уязвимых устройствах. Хуже того, эту уязвимость можно использовать в связке с другими багами, что позволит добиться выполнения кода, раскрытия информации и произвольного удаления файлов в контексте root.

Стоит отметить, что все перечисленные уязвимости были обнаружены еще в октябре 2024 года, и только восемь месяцев спустя патчи наконец стали доступны клиентам.

Хотя признаков активной эксплуатации обнаруженных проблем нет, пользователям рекомендуется как можно скорее установить последние обновления.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии