HPE OneView Synergy Composer权限提升漏洞

CVE编号

CVE-2020-7198

利用情况

暂无

补丁情况

N/A

披露时间

2020-11-07

漏洞描述

Hewlett Packard Enterprise，HPE HPE OneView和HPE Synergy Composer都是美国惠普企业（Hewlett Packard Enterprise，HPE）公司的产品。HPE OneView是一款便于IT部门自动化管理设备的软件。HPE Synergy Composer是一种支持组合式和灵活扩张的IT基础设施。可通过组合式来减少运营成本，并且可实现快速部署，降低IT部门压力。 HPE OneView 和 Synergy Composer存在安全漏洞，该漏洞源于在OneView和Synergy Composer中拥有OneView帐户的恶意用户可能会远程升级权限。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https://support.hpe.com/hpsc/doc/public/display?docLocale=en_US&docId=emr_na-hpesbhf04047en_us

参考链接
https://support.hpe.com/hpsc/doc/public/display?docLocale=en_US&docId=emr_na-...

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	hp	oneview	5.0	-
	运行在以下环境
	应用	hp	oneview	5.00.01	-
	运行在以下环境
	应用	hp	oneview	5.00.02	-
	运行在以下环境
	应用	hp	oneview	5.2	-
	运行在以下环境
	应用	hp	oneview	5.20.01	-
	运行在以下环境
	应用	hp	oneview	5.3	-
	运行在以下环境
	应用	hp	oneview	5.4	-
	运行在以下环境
	应用	hp	synergy_composer	5.0	-
	运行在以下环境
	应用	hp	synergy_composer	5.00.01	-
	运行在以下环境
	应用	hp	synergy_composer	5.00.02	-
	运行在以下环境
	应用	hp	synergy_composer	5.2	-
	运行在以下环境
	应用	hp	synergy_composer	5.20.01	-
	运行在以下环境
	应用	hp	synergy_composer	5.3	-
	运行在以下环境
	应用	hp	synergy_composer	5.4	-
	运行在以下环境
	应用	hp	synergy_composer_2	5.0	-
	运行在以下环境
	应用	hp	synergy_composer_2	5.00.01	-
	运行在以下环境
	应用	hp	synergy_composer_2	5.00.02	-
	运行在以下环境
	应用	hp	synergy_composer_2	5.2	-
	运行在以下环境
	应用	hp	synergy_composer_2	5.20.01	-
	运行在以下环境
	应用	hp	synergy_composer_2	5.3	-
	运行在以下环境
	应用	hp	synergy_composer_2	5.4	-

CVSS3评分 8.8

• 攻击路径 网络
• 攻击复杂度 低
• 权限要求 低
• 影响范围 未更改
• 用户交互 无
• 可用性 高
• 保密性 高
• 完整性 高

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CWE-ID	漏洞类型
CWE-269	特权管理不恰当
NVD-CWE-noinfo

Exp相关链接

- avd.aliyun.com