GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全公告

CVE-2020-7197 | HPE SSMC远程身份验证绕过缝隙公告

颁布功夫 2020-10-26

0x00 缝隙概述

CVE ID	CVE-2020-7197	时间	2020-10-26
类型	身份验证绕过	等级	高危
远程利用	是	影响领域	3.7.0.0之前的HP 3PAR StoreServ Management and Core Software Media

HPE SSMC是合用于HPE Primera存储平台和HPE 3PAR StoreServ全闪存阵列系统的数据中心阵列治理和汇报节造台。其通过HPE OneView等HPE治理工具提供了现代化的表观以及通用的界面和说话，并使用最新的API和UI技术，可将所有HP 3PAR StoreServ治理集中在一个单一的窗格中，提供文件和块的融合治理和汇报职能。

0x01 缝隙详情

2020年10月23日，HPE颁布安全公告，其已经建复了HPE StoreServ治理节造台（SSMC）中的一个远程身份验证绕过缝隙(CVE-2020-9197)，该缝隙的CVSS评分为10.0。

由于HPE StoreServ治理节造台（SSMC）3.7.0.0是一个非节点多阵列治理器Web利用法式，并且与托管阵列上的数据隔离，这使得SSMC很容易被远程身份验证绕过。

0x02 措置建议

目前HPE已更新了HPE StoreServ Management Console (SSMC)3.7.0.0，建议升级到HPE 3PAR StoreServ Management Console 3.7.1.1或更高版本。

下载地址：

https://myenterpriselicense.hpe.com/cwp-ui/free-software/SSMC_CONSOLE

0x03 参考链接

https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=hpesbst04045en_us

https://securityaffairs.co/wordpress/109962/security/ssmc-critical-auth-bypass-issue.html?

0x04 功夫线

2020-10-23 HPE初次颁布安全布告

2020-10-24 HPE更新安全布告

2020-10-26 VSRC颁布安全公告

0x05 附录

CVSS评分尺度官网：http://www.first.org/cvss/

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】