据外媒消息称,戴尔EMC在VMAX企业存储系统的管理界面有6个漏洞,可能导致敏感文件的曝光或一个完整的系统妥协,这是很可怕的漏洞漏洞,可以远程,未经认证进行攻击,可以利用这些漏洞完全破坏系统。
其中关键的一个漏洞位于Unisphere在VMAX企业存储阵列,它提供了一个基于Web的管理界面来配置,管理和监控这些系统的设备。
更具体的漏洞是在GraniteDS库,提供了Unisphereweb应用程序基于闪存的一部分的服务器端的支持。据安全漏洞管理公司Digital国防研究人员称,这个问题使得非授权用户从具有root权限的虚拟设备检索任意文本文件。
该数字防御研究人员说,另一个关键漏洞固定在Unisphere中vApp的管理器应用程序里,它运行在端口5480.此应用程序有一个名为GetSymmCmdCommand类,通过它,攻击者可以无需验证执行任意命令,这个漏洞的成功利用可能导致执行任意命令以获得root权限,添加新的管理员用户的行为。
其他三个漏洞也是vApp的,并评为具有非常严重的漏洞,因为它们需要身份验证漏洞。但是,所有的人都允许以低特权用户执行任意命令,可能导致整个系统的瘫痪,从而破坏系统任意文件。
标签:漏洞
