CVE-2019-18580

CVSS 9.8 CRITICALEPSS 4.9%CWE-502

En resumen

El Dell EMC Storage Monitoring and Reporting versión 4.3.1 tiene un fallo que permite a atacantes enviar mensajes especialmente diseñados a través de la red para ejecutar código malicioso en el servidor sin necesidad de contraseña. Esto es peligroso porque un atacante desde cualquier lugar de internet puede tomar control completo del sistema.

Detalle técnico

La vulnerabilidad existe en la deserialización insegura de datos no confiables en Java RMI (CWE-502). Un atacante remoto no autenticado puede enviar una solicitud RMI manipulada que provoca deserialización insegura, permitiendo la ejecución de código arbitrario en el host objetivo. El vector de ataque es a través de la red sin requerir autenticación ni interacción del usuario, resultando en impacto crítico en confidencialidad, integridad y disponibilidad.

Resumen generado y traducido por IA a partir de la descripción oficial.

Dell EMC Storage Monitoring and Reporting version 4.3.1 contains a Java RMI Deserialization of Untrusted Data vulnerability. A remote unauthenticated attacker may potentially exploit this vulnerability by sending a crafted RMI request to execute arbitrary code on the target host.

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Productos afectados

Dell · EMC Storage M&R

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://www.dell.com/support/security/en-us/details/538977/DSA-2019-176-Dell-EMC-Storage-Monitoring-and-Reporting-SMR-Java-RMI-Deserialization-of-Untruste