Falla CVE 2020 29489 a 29502 y 29490 26199 26181 35170

vulnerabilidad

Vulnerabilidades de productos DELL CVE-2020-29489 CVE-2020-29590 CVE-2020-29591 CVE-2020-29592

CVE-2020-29502: Las versiones de Dell EMC PowerStore anteriores a 1.0.3.0.5.007 contienen una vulnerabilidad de almacenamiento de contraseña de texto sin formato en entornos PowerStore X & T. Un atacante autenticado localmente podría aprovechar esta vulnerabilidad, dando lugar a la divulgación de ciertas credenciales de usuario. El atacante puede utilizar las credenciales expuestas para acceder a la aplicación vulnerable con los privilegios de la cuenta comprometida.

CVE-2020-29501: Las versiones de Dell EMC PowerStore anteriores a 1.0.3.0.5.007 contienen una vulnerabilidad de almacenamiento de contraseña de texto sin formato en entornos PowerStore X & T. Un atacante autenticado localmente podría aprovechar esta vulnerabilidad, dando lugar a la divulgación de ciertas credenciales de usuario. El atacante puede utilizar las credenciales expuestas para acceder a la aplicación vulnerable con los privilegios de la cuenta comprometida.

CVE-2020-29500: Las versiones de Dell EMC PowerStore anteriores a 1.0.3.0.5.007 contienen una vulnerabilidad de almacenamiento de contraseña de texto sin formato en los entornos de PowerStore T. Un atacante autenticado localmente podría aprovechar esta vulnerabilidad, dando lugar a la divulgación de ciertas credenciales de usuario. El atacante puede utilizar las credenciales expuestas para acceder a la aplicación vulnerable con los privilegios de la cuenta comprometida

CVE-2020-29490: Las versiones de Dell EMC Unity, Unity XT y UnityVSA anteriores a 5.0.4.0.5.012 contienen una vulnerabilidad de denegación de servicio en servidores NAS con exportaciones NFS. Un atacante autenticado de forma remota podría aprovechar esta vulnerabilidad y provocar denegación de servicio (pánico del procesador de almacenamiento) mediante el envío de solicitudes UDP especialmente diseñadas.

CVE-2020-29489: Las versiones de Dell EMC Unity, Unity XT y UnityVSA anteriores a 5.0.4.0.5.012 contienen una vulnerabilidad de almacenamiento de contraseña de texto sin formato. Una contraseña de credenciales de usuario (incluido el usuario con privilegios de administrador de Unisphere) se almacena en un texto sin formato en un archivo del sistema. Un atacante local autenticado con acceso a los archivos del sistema puede usar la contraseña expuesta para obtener acceso con los privilegios del usuario comprometido.

CVE-2020-26199: Las versiones de Dell EMC Unity, Unity XT y UnityVSA anteriores a 5.0.4.0.5.012 contienen una vulnerabilidad de almacenamiento de contraseña de texto sin formato. La contraseña de las credenciales de usuario (incluido el usuario con privilegios de administrador de Unisphere) se almacena en texto sin formato en varios archivos de registro. Un atacante local autenticado con acceso a los archivos de registro puede usar la contraseña expuesta para obtener acceso con los privilegios del usuario comprometido.

CVE-2020-26181: Dell EMC Isilon OneFS versiones 8.1 y posteriores y Dell EMC PowerScale OneFS versión 9.0.0 contienen una vulnerabilidad de escalamiento de privilegios en un clúster del modo de cumplimiento de SmartLock. El usuario de compadmin que se conecta usando ISI PRIV LOGIN SSH o ISI PRIV LOGIN CONSOLE puede elevar los privilegios al usuario root si tiene privilegios de ISI PRIV HARDENING.

CVE-2020-35170: Dell EMC Unisphere for PowerMax versiones anteriores a 9.1.0.9, Dell EMC Unisphere for PowerMax versiones anteriores a 9.0.2.16 y Dell EMC PowerMax OS 5978.221.221 y 5978.479.479 contienen una vulnerabilidad de Cross-Site Scripting (XSS). Un usuario malintencionado autenticado puede aprovechar esta vulnerabilidad para inyectar código javascript y afectar las sesiones de otros usuarios autenticados.

Referencias:

https://www.dell.com/support/kbdoc/000180775

Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias

Compartir en Facebook Compartir en twitter

Semrush sigue a tu competencia

Fecha actualización el 2021-01-07. Fecha publicación el 2021-01-07. Categoría: vulnerabilidad Autor: Oscar olg Mapa del sitio Fuente: NIST