CVE-2019-18580

CVSS 9.8 CRITICALEPSS 4.9%CWE-502

Em resumo

O Dell EMC Storage Monitoring and Reporting versão 4.3.1 possui uma falha que permite a invasores enviar mensagens especialmente criadas pela rede para executar código malicioso no servidor sem precisar de senha. Isso é perigoso porque um atacante em qualquer lugar da internet pode assumir o controle completo do sistema.

Detalhe técnico

A vulnerabilidade reside na desserialização não segura de dados não confiáveis em Java RMI (CWE-502). Um atacante remoto não autenticado pode enviar uma requisição RMI malformada que causa desserialização insegura, levando à execução de código arbitrário no host alvo. O vetor de ataque é pela rede sem exigir autenticação ou interação do usuário, resultando em impacto crítico na confidencialidade, integridade e disponibilidade.

Resumo gerado e traduzido por IA a partir da descrição oficial.

Dell EMC Storage Monitoring and Reporting version 4.3.1 contains a Java RMI Deserialization of Untrusted Data vulnerability. A remote unauthenticated attacker may potentially exploit this vulnerability by sending a crafted RMI request to execute arbitrary code on the target host.

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Produtos afetados

Dell · EMC Storage M&R

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://www.dell.com/support/security/en-us/details/538977/DSA-2019-176-Dell-EMC-Storage-Monitoring-and-Reporting-SMR-Java-RMI-Deserialization-of-Untruste