Vulnérabilités dans VNX2 OE de DELL
Date de publication :
VNX2 est une plateforme de stockage unifié qui permet, entre autres, d’être configurée pour les applications virtuelles. Des documentations détaillées sont disponibles ici.
CVE-2021-36294[Score CVSS v3.1: 9.8]
L’authentification dans le système d’exploitation de la plateforme VNX2 de Dell a été identifiée comme vulnérable. Il est possible de contourner la politique de sécurité en utilisant un cookie malveillant. L’exploitation de cette vulnérabilité par un attaquant distant et non authentifié permet de se connecter en tant que n’importe quel utilisateur.
CVE-2021-36289[Score CVSS v3.1: 7.8]
La confidentialité des données sensibles a été signalée comme insuffisante dans la plateforme VNX2 de Dell. L’exploitation de cette vulnérabilité par un attaquant local et authentifié permet la lecture et l’utilisation de données sensibles.
CVE-2021-36295CVE-2021-36296[Score CVSS v3.1: 7.2]
Deux vulnérabilités ont été découvertes dans le système d’exploitation de la plateforme VNX2 de Dell. L’exploitation de ces vulnérabilités par un attaquant distant et authentifié permet l’exécution de code arbitraire sur le système.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
-
Exécution de code arbitraire
Atteinte à la confidentialité des données
Contournement de la politique de sécurité
Criticité
-
Score CVSS v3.1: 9.8 max
La faille est activement exploitée
-
Non, pour l’ensemble des CVE présentés
Un correctif existe
-
Oui, pour l’ensemble des CVE présentés
Une mesure de contournement existe
-
Oui, pour l’ensemble des CVE présentés
Les vulnérabilités exploitées sont du type
Pour la CVE-2021-36294
-
CWE-331 : Insufficient Entropy
Pour la CVE-2021-36289
-
CWE-532 : Insertion of Sensitive Information into Log File
Pour la CVE-2021-36295CVE-2021-36296
-
CWE-78 : Improper Neutralization of Special Elements used in an OS Command
Détails sur l’exploitation
Pour la CVE-2021-36294
-
Vecteur d’attaque : Réseau
Complexité de l’attaque : Faible
Privilèges nécessaires pour réaliser l’attaque : Aucun
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non
Pour la CVE-2021-36289
-
Vecteur d’attaque : Local
Complexité de l’attaque : Faible
Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non
Pour la CVE-2021-36295CVE-2021-36296
-
Vecteur d’attaque : Réseau
Complexité de l’attaque : Faible
Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur à privilège
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non
Composants vulnérables.
-
La version 8.1.21.266 de VNX2 OE For File, ainsi que les versions antérieures.
Plateforme de stockage unifié VNX :
- VNX VG10
VNX VG50
VNX 2 Series
VNX 5200
VNX 5400
VNX 5600
VNX 5800
VNX 7600
VNX 8000