Уязвимости корпоративного ПО Hewlett Packard позволяют похищать данные

Сразу три уязвимости выявлены в Hewlett Packard Enterprise OneView Software и угрожают безопасности использующих их организаций. Под угрозой HPE OneView до версии 8.5, а также патч v6.60.05.

CVE-2023-30908 оценена в 9.8 по шкале CVSS и позволяет потенциальному злоумышленнику обойти аутентификацию. Брешь связана с особенностями использования HPE OneView учетных данных пользователей. Для ее использования хакер должен отправить на сервер HPE OneView соответствующий запрос.

CVE-2022-4304 обеспечивает возможность атаки по сторонним каналам и позволяет атакующему получить значимую информацию. Атака представляет собой отправку очень большого количества тестовых сообщений на расшифровку.

CVE-2023-2650 позволяет осуществлять DoS-атаки на HPE OneView. Проблема вызвана особенностями работы OpenSSL с OBJ_obj2txt().