HPE випустила критичні патчі для StoreOnce — вразливості дозволяють обхід автентифікації та RCE

4 червня 2025 1 хвилина Автор: Newsman

Hewlett Packard Enterprise (HPE) випустила оновлення безпеки для свого рішення StoreOnce, що усуває одразу вісім небезпечних вразливостей, серед яких критичний баг з обходом автентифікації (CVE-2025-37093, CVSS 9.8), який дозволяє віддалене виконання коду.


Згідно з офіційним повідомленням, вразливості у HPE StoreOnce можуть бути використані зловмисниками для обходу автентифікації, віддаленого виконання коду, SSRF-атак, видалення файлів та розкриття інформації. Найнебезпечніша з них — CVE-2025-37093 — зачіпає всі версії StoreOnce до 4.3.11 і була виявлена анонімним дослідником безпеки через Zero Day Initiative (ZDI).

  • Проблема полягає у неправильній реалізації методу machineAccountCheck, що дозволяє обійти автентифікацію на системі. Більше того, ця вразливість може комбінуватися з іншими (RCE, SSRF, Directory Traversal), щоб отримати повний контроль над системою.
  • Крім StoreOnce, HPE також випустила патчі для інших критичних продуктів: Telco Service Orchestrator (CVE-2025-31651) та OneView (CVE-2024-38475, CVE-2024-38476), усуваючи вразливості в Apache Tomcat та Apache HTTP Server.

StoreOnce — флагманське рішення HPE для резервного копіювання та дедуплікації даних, широко використовується в корпоративному та урядовому середовищі. Вразливості були виявлені ще у жовтні 2024 року, але виправлення стали доступними лише зараз. Це черговий приклад складності забезпечення безпеки в DevOps-середовищах, де кожен сервіс може стати точкою входу для атак. Zero Day Initiative, яка координувала розкриття, підтвердила, що вразливості можуть призвести до компрометації серверів із привілеями root, що робить їх особливо привабливими для зловмисників.

HPE закликає всіх користувачів негайно оновити StoreOnce до версії 4.3.11 і переконатися в актуальності Telco Service Orchestrator і OneView. Хоча поки немає підтверджень активної експлуатації вразливостей, ризики надто високі, щоби зволікати з оновленням. Ці події ще раз підкреслюють важливість регулярного патч-менеджменту у сучасних інфраструктурах.

Інші статті по темі
Новини
Читати далі
WhatsApp тепер без номера. Месенджер впроваджує користувацькі @юзернейми для безпечнішого спілкування
WhatsApp готується до запуску нового функціоналу – імен користувачів, які дозволять спілкуватися без обміну номерами телефонів. Завдяки цій опції месенджер приєднується до тренду на анонімну та безпечну комунікацію, який уже реалізований у Telegram і Signal. Нововведення зміцнює конфіденційність, полегшує участь у публічних групах і відповідає запиту користувачів Gen Z на більший контроль над персональними даними.
75
Новини
Читати далі
OpenAI готує GPT-5
OpenAI підтвердила, що GPT-5 вийде влітку 2025 року, намагаючись посилити конкуренцію з Claude 4 і Gemini 2.5 Pro. Нова модель може стати дорожчою за GPT-4, але обіцяє вищу продуктивність. Окрім GPT-5, OpenAI покращує GPTs (персоналізовані версії ChatGPT) та Memorу.
110
Новини
Читати далі
2,7 млн пацієнтів під загрозою через відкриту базу MongoDB
У червні 2025 року в США стався витік 2,7 мільйона медичних записів пацієнтів через незахищену базу даних MongoDB, ймовірно пов’язану з маркетинговою компанією Gargle. Інцидент ставить під сумнів безпечність сторонніх сервісів, які мають доступ до чутливої інформації. Витік може призвести до крадіжки особистості, шахрайства зі страховкою та фішингових атак, порушуючи вимоги HIPAA та ставлячи під ризик мільйони американців.
72
Знайшли помилку?
Якщо ви знайшли помилку, зробіть скріншот і надішліть його боту.
OSZAR »