Hewlett Packard Enterprise (HPE) ha publicado actualizaciones de seguridad para acometer hasta ocho vulnerabilidades en su opción de copia de seguridad y deduplicación de StoreOnce que podría resultar en un bypass de autenticación y una ejecución de código remoto.
“Estas vulnerabilidades podrían explotarse de forma remota para permitir la ejecución remota del código, la divulgación de información, la falsificación de solicitudes del costado del servidor, el bypass de autenticación, la matanza de archivos arbitrarios y las vulnerabilidades de divulgación de información transversal del directorio”, dijo HPE en un asesoramiento.
Esto incluye una opción para una equivocación de seguridad crítica rastreada como CVE-2025-37093, que tiene una calificación de 9.8 en el sistema de puntuación CVSS. Se ha descrito como un error de derivación de autenticación que afecta a todas las versiones del software antiguamente de 4.3.11. La vulnerabilidad, unido con el resto, se informó al proveedor el 31 de octubre de 2024.
Según la Iniciativa Cero Day (ZDI), que acreditó a un investigador ignorado por descubrir e informar la deficiencia, dijo que el problema se plinto en la implementación del método MachineAcCountCheck.
“El problema resulta de la implementación inadecuada de un operación de autenticación”, dijo Zdi. “Un atacante puede explotar esta vulnerabilidad para evitar la autenticación en el sistema”.
La explotación exitosa de CVE-2025-37093 podría permitir que un atacante remoto pase por stop la autenticación en las instalaciones afectadas. Lo que hace que la vulnerabilidad sea más severa es que podría estar encadenado con las fallas restantes para conseguir la ejecución del código, la divulgación de información y la matanza de archivos arbitrarios en el contexto de la raíz –
- CVE-2025-37089-Ejecución de código remoto
- CVE-2025-37090-falsificación de solicitud del costado del servidor
- CVE-2025-37091-Ejecución de código remoto
- CVE-2025-37092-Ejecución de código remoto
- CVE-2025-37093-Bypass de autenticación
- CVE-2025-37094-Deleción de archivos arbitrarios transversales de directorio
- CVE-2025-37095-Divulgación de información transversal del directorio
- CVE-2025-37096-Ejecución de código remoto
The disclosure comes as HPE also shipped patches to address multiple critical-severity flaws in HPE Telco Service Orchestrator (CVE-2025-31651, CVSS score: 9.8) and OneView (CVE-2024-38475, CVE-2024-38476, CVSS scores: 9.8) to address previously disclosed weaknesses in Apache Tomcat and Servidor apache http.
Si adecuadamente no hay informes de explotación activa, es esencial que los usuarios apliquen las últimas actualizaciones para una protección óptima.
