CVE-2021-32525

QSAN Storage Manager - Use of Hard-coded Password-2

CVSS 9.1 CRITICALEPSS 1.7%CWE-259

En resumen

QSAN Storage Manager contiene una contraseña hard-coded en su firmware que permite que cualquiera inicie sesión como administrador y ejecute comandos peligrosos del sistema. Esta es una falla crítica porque los atacantes pueden controlar remotamente todo el sistema de almacenamiento.

Detalle técnico

La vulnerabilidad existe en el firmware de QSAN Storage Manager debido a una contraseña de modo debug codificada en la aplicación. Los atacantes remotos pueden autenticarse en la interfaz de control con privilegios de administrador y ejecutar instrucciones arbitrarias del sistema sin autorización apropiada, eludiendo mecanismos de autenticación. La explotación requiere acceso de red al servicio afectado y conocimiento de la credencial hard-coded.

Resumen generado y traducido por IA a partir de la descripción oficial.

The same hard-coded password in QSAN Storage Manager's in the firmware allows remote attackers to access the control interface with the administrator’s credential, entering the hard-coded password of the debug mode to execute the restricted system instructions. The referred vulnerability has been solved with the updated version of QSAN Storage Manager v3.3.3.

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

Productos afectados

QSAN · Storage Manager

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://www.twcert.org.tw/tw/cp-132-4881-959d3-1.html