Vulnérabilité critique dans la plateforme Integrated System pour Azure Stack Hub de DELL EMC
Date de publication :
Just Enough Administration (JEA): Cette fonctionnalité permet à un utilisateur distant de réaliser des tâches sur un serveur sans qu’il soit administrateur.
CVE-2021-36302[Score CVSS v3.1: 9.9]
Une gestion incorrecte des privilèges peut permettre à un attaquant ayant les autorisations standards JEA d’élever ses privilèges et de prendre le contrôle du système.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Élévation de privilèges
Criticité
Score CVSS v3.1: 9.9
La faille est activement exploitée
Non
Un correctif existe
Oui
Une mesure de contournement existe
Oui
Les vulnérabilités exploitées sont du type
Détails sur l’exploitation
Vecteur d’attaque : Réseau
Complexité de l’attaque : Faible
Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui
Composants vulnérables.
La version 2108 DELL EMC ainsi que les versions antérieures.
Integrated System pour Microsoft Azure Stack Hub
Integrated System pour Microsoft Azure Stack Hub 13G
Integrated System pour Microsoft Azure Stack Hub 14G
Solutions ou recommandations
- Appliquer la mise à jour DELL EMC vers la version 2204.
- Une solution de contournement existe, celle-ci est disponible ici.