CVE-2020-7200 | CVE-2020-7203
Descripción
Se han identificado dos vulnerabilidades en productos HPE de ejecución remota de código.
- CVE-2020-7200: Esta vulnerabilidad afecta a Systems Insight Manager (SIM) versión 7.6. La vulnerabilidad podría aprovecharse para permitir la ejecución remota de código.
- CVE-2020-7203: Esta vulnerabilidad de seguridad en el servidor HPE iLO Amplifier Pack podría permitir a un atacante realizar una ejecución remota de código (RCE).
Recursos afectados
- iLO Amplifier Pack, versión 1.70.
- HPE Systems Insight Manager (SIM), versiones 7.6.x.
Solución
Actualizar iLO Amplifier Pack a la versión 1.71.
HPE ha informado que publicara una futura versión que corrija la CVE-2020-7200 y recomienda seguir los siguientes los pasos para eliminar las funciones «Federated Search» y «Federated CMS Configuration»:
- Detener el servicio HPE SIM.
- Eliminar el archivo de la ruta de instalación: del /Q /F %PROGRAMFILES%\HP\Systems Insight Manager\jboss\server\hpsim\deploy\simsearch.war.
- Reiniciar el servicio HPE SIM.
- Esperar a que se pueda acceder a la página web de HPE SIM «https://SIM_IP:50000» y ejecutar el siguiente comando desde el símbolo del sistema: mxtool -r -f tools\multi-cms-search.xml 1>nul 2>nul.
[Actualización]
Aplicar Hotfix Update Kit for HPE Systems Insight Manager 7.6 (Apr 2021) desde el centro de descargas