| Produkt | Infrastructure Manager: Advanced Edition V2.8.0.060 Infrastructure Manager: Advanced Edition for PRIMEFLEX V2.8.0.060 Infrastructure Manager: Essential Edition V2.8.0.060 |
| Numer CVE | CVE-2023-39903 |
| Krytyczność | 5.9/10 |
| CVSS | AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N |
| Opis | W programie Fujitsu Software Infrastructure Manager (ISM) przed wersją 2.8.0.061 wykryto problem. Komponent ismsnap (w tym konkretnym przypadku pod adresem /var/log/fujitsu/ServerViewSuite/ism/FirmwareManagement/FirmwareManagement.log) umożliwia niebezpieczne gromadzenie i przechowywanie danych autoryzacyjnych w postaci zwykłego tekstu. Dzieje się tak, gdy użytkownicy przeprowadzają dowolny test konfiguracji adresu repozytorium oprogramowania sprzętowego ISM (Test połączenia) lub regularnie autoryzują się w odniesieniu do już skonfigurowanej zdalnej witryny repozytorium oprogramowania sprzętowego, zgodnie z ustawieniem w Adresie repozytorium oprogramowania sprzętowego ISM. Uprzywilejowana osoba atakująca jest zatem w stanie potencjalnie zebrać powiązane dane konserwacyjne ismsnap w taki sam sposób, w jaki zaufana strona może eksportować dane ismsnap z ISM. Warunki wstępne, aby instalacja ISM była ogólnie podatna na ataki, to włączenie i skonfigurowanie funkcji pobierania oprogramowania sprzętowego (serwera repozytorium oprogramowania sprzętowego) oraz użycie znaku \ (ukośnika odwrotnego) w poświadczeniu użytkownika (tj. identyfikatorze użytkownika lub haśle) zdalny serwer proxy / serwer repozytorium oprogramowania sprzętowego. |
| Aktualizacja | TAK |
| Link | https://www.cisa.gov/news-events/ics-advisories/icsa-23-255-02 |
ICS-CERT informuje o nowych podatnościach w produkcie firmy Fuj. (P23-243)
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny