Fabric Operating System
Уязвимости
95
Эксплуатируемые
1
Макс. CVSS
9.8
Макс. EPSS
0.53336
Распределение по критичности
Критический
8
Высокий
44
Средний
41
Низкий
2
Затронутые диапазоны версий
7.0.0–7.4.2h7.4.2–7.4.2d8.0.0–8.2.3c8.1.0–9.0.08.2.0–8.2.38.2.1–8.2.1d8.2.1–8.2.3a9.0.0–9.1.1d9.0.0–9.1.1d19.0.0–9.2.09.0.0–9.2.1b9.0.1a–9.2.0a9.1.0–9.1.1d79.1.0–9.2.2< 7.4.1d< 7.4.2< 7.4.2.j< 7.4.2b< 7.4.2f< 7.4.2g< 7.4.2h< 7.4.2j< 8.2.1< 8.2.3a
Также сопоставлено как (исходные строки): silkworm,active_iq_unified_manager,hci_management_node,solidfire,fabric_operating_system,silkworm_fiber_channel_switch,ds4100,d280,cloud_backup,ontap,ontap_tools,storage_controller
Топ уязвимостей
CVE-2023-3454Уязвимость удаленного выполнения кода (RCE) в Brocade Fabric OS после версии 9.0 и до версии 9.2.0 может позволить атакующему выполнить произвольный код и использовать это для получения прав root на коммутатор Brocade.
CVE-2022-33186Уязвимость в Brocade Fabric OS software v9.1.1, v9.0.1e, v8.2.3c, v7.4.2j и более ранних версиях может позволить удаленному неаутентифицированному злоумышленнику выполнять на коммутаторе Brocade Fabric OS команды, способные изменять зонирование, отключать коммутатор, отключать порты и изменять IP-адрес коммутатора.
CVE-2021-27797Brocade Fabric OS до Brocade Fabric OS v8.2.1c, v8.1.2h и все версии Brocade Fabric OS v8.0.x и v7.x содержат задокументированные жестко закодированные учетные данные, которые могут позволить злоумышленникам получить доступ к системе.
CVE-2020-15374Rest API в Brocade Fabric OS v8.2.1 через v8.2.1d и версиях 8.2.2 до v8.2.2c уязвим для многочисленных экземпляров отраженного ввода.
CVE-2020-15373Множественные уязвимости переполнения буфера в REST API в Brocade Fabric OS версий с v8.2.1 по v8.2.1d и версиях 8.2.2 до v8.2.2c могут позволить удаленным не прошедшим аутентификацию злоумышленникам выполнять различные атаки.
CVE-2020-15371Brocade Fabric OS версий до Brocade Fabric OS v9.0.0, v8.2.2c, v8.2.1e, v8.1.2k, v8.2.0_CBN3, содержит уязвимость внедрения кода и повышения привилегий.
CVE-2018-6440Уязвимость в прокси-сервисе Brocade Fabric OS версий до 8.2.1, 8.1.2f, 8.0.2f, 7.4.2d может позволить удаленным неаутентифицированным злоумышленникам получить конфиденциальную информацию и, возможно, вызвать атаку типа «отказ в обслуживании».
CVE-2024-3596Протокол RADIUS согласно RFC 2865 подвержен атакам подделки местным атакующим, который может модифицировать любой действительный ответ (Access-Accept, Access-Reject или Access-Challenge) в любой другой ответ, используя атаку на основе выбранного префикса коллизии против подписи MD5 Response Authenticator.
CVE-2022-33183Уязвимость в Brocade Fabric OS CLI до Brocade Fabric OS v9.1.0, 9.0.1e, 8.2.3c, 8.2.0cbn5, 7.4.2.j может позволить удаленному аутентифицированному злоумышленнику выполнить переполнение стекового буфера с помощью команд «firmwaredownload» и «diagshow».
CVE-2022-33179Уязвимость в Brocade Fabric OS CLI до Brocade Fabric OS v9.1.0, 9.0.1e, 8.2.3c и 7.4.2j может позволить локальному аутентифицированному пользователю выйти из ограниченных оболочек с помощью «set context» и повысить привилегии.
CVE-2022-28169Brocade Webtools в Brocade Fabric OS версий до Brocade Fabric OS версий v9.1.1, v9.0.1e и v8.2.3c может позволить веб-пользователю с низкими привилегиями получить повышенные права администратора или привилегии, выходящие за рамки того, что предназначено или разрешено для этого пользователя. Используя эту уязвимость, пользователь, роль которого не является администратором, может создать нового пользователя с ролью администратора, используя идентификатор сеанса оператора. Проблема была воспроизведена после перехвата заголовков авторизации администратора и оператора, отправленных в незашифрованном виде, и редактирования запроса на добавление пользователя для использования заголовка авторизации оператора.
CVE-2020-15369Supportlink CLI в Brocade Fabric OS версий с v8.2.1 по v8.2.1d и версиях 8.2.2 до v8.2.2c не обфусцирует поле пароля, что может раскрыть учетные данные пользователей удаленного сервера. Аутентифицированный пользователь может получить раскрытые учетные данные пароля для получения доступа к удаленному хосту.
CVE-2018-6442Уязвимость в разделе обновления прошивки Brocade Webtools Brocade Fabric OS до 8.2.1, 8.1.2f, 8.0.2f, 7.4.2d может позволить удаленным аутентифицированным злоумышленникам выполнять произвольные команды.
CVE-2016-8202Уязвимость повышения привилегий в Brocade Fibre Channel SAN, работающих под управлением Brocade Fabric OS (FOS) версий ранее v7.4.1d и v8.0.1b, может позволить аутентифицированному злоумышленнику повысить привилегии учетных записей пользователей, обращающихся к системе через интерфейс командной строки. В затронутых версиях пользователи, не являющиеся root, могут получить root-доступ с помощью комбинации команд оболочки и параметров.
CVE-2025-1976Версии Brocade Fabric OS, начиная с 9.1.0, имеют удаленный доступ root, однако локальный пользователь с привилегиями администратора потенциально может выполнить произвольный код с полными привилегиями root на версиях Fabric OS от 9.1.0 до 9.1.1d6 [1].
Источники:
- [1] https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25602
CVE-2024-5461Реализация Простого Протокола Управления Сетью (SNMP), работающего на встроенном коммутаторе Brocade 6547 (FC5022), делает внутренние вызовы сценариев к system.sh из
внутри бинарного файла SNMP. Аутентифицированный злоумышленник может выполнить инъекцию команды или параметров в операциях SNMP, которые доступны только на
встроенном коммутаторе Brocade 6547 (FC5022). Эта инъекция может позволить аутентифицированному злоумышленнику выдавать команды от имени Root.
CVE-2025-9711Уязвимость в ОС Brocade Fabric до 9.2.1c3 может позволить повысить привилегии локального аутентифицированного пользователя, чтобы «укоренить» с использованием опции экспорта команд sectertmgmt и sectcryptocfg.
CVE-2025-58382Уязвимость в безопасной конфигурации аутентификации и
услуги по управлению в операционной станке Brocade Fabric перед Fabric OS 9.2.1c2 могли
разрешить аутентифицированного, удаленного злоумышленника с административными полномочиями
выполнять произвольные команды в качестве корня с помощью «supportsave»,
Команда «seccertmgmt», «конфигура загружать».
CVE-2024-7517Уязвимость внедрения команд в Brocade Fabric OS до 9.2.0c и с 9.2.1 по 9.2.1a на платформах IP extension может позволить локальному аутентифицированному злоумышленнику выполнить повышение привилегий с помощью специально созданного использования команды portcfg.
Эта конкретная эксплуатация возможна только на платформах IP Extension: Brocade 7810, Brocade 7840, Brocade 7850 и на директорах Brocade X6 или X7 с установленным лезвием SX-6 Extension. Злоумышленник должен войти в коммутатор через SSH или последовательную консоль, чтобы осуществить атаку.
CVE-2025-58383Уязвимость в версиях ОС Brocade Fabric до 9.2.1c2 может позволить пользователю на уровне администратора выполнять команду связывания, усиливать привилегии и обходить элементы управления безопасностью, позволяющие выполнять произвольные команды.
CVE-2026-0383Уязвимость в ОС Brocade Fabric может позволить аутентифицированному локальному злоумышленнику с привилегиями получить доступ к оболке Bash для доступа к небезопасно сохраненному содержимому файлов, включая команду истории.
CVE-2024-5460Уязвимость в конфигурации по умолчанию функции Simple Network Management Protocol (SNMP) в Brocade Fabric OS версий до v9.0.0 может позволить аутентифицированному удаленному злоумышленнику читать данные с затронутого устройства через SNMP. Уязвимость связана с жестко закодированной строкой сообщества по умолчанию в файле конфигурации для демона SNMP. Злоумышленник может использовать эту уязвимость, используя статическую строку сообщества в запросах SNMP версии 1 к затронутому устройству.
CVE-2021-27795Аппаратные платформы Brocade Fabric OS (FOS), работающие под управлением любой версии программного обеспечения Brocade Fabric OS, которое поддерживает формат строки лицензии, содержат криптографические проблемы, которые могут позволить установить поддельные или мошеннические лицензионные ключи. Это позволило бы злоумышленникам или злоумышленнику подделать поддельный лицензионный ключ, который платформа Brocade Fabric OS аутентифицирует и активирует, как если бы это был законный лицензионный ключ.
CVE-2023-31427Версии Brocade Fabric OS до Brocade Fabric OS v9.1.1c и v9.2.0 могут позволить аутентифицированному локальному пользователю, знающему полные имена путей внутри Brocade Fabric OS, выполнять любую команду независимо от назначенных привилегий. Начиная с Fabric OS v9.1.0, доступ к учетной записи “root” отключен.
CVE-2023-31425Уязвимость в команде fosexec системы Brocade Fabric OS после Brocade Fabric OS v9.1.0 и до Brocade Fabric OS v9.1.1 может позволить локальному аутентифицированному пользователю выполнить повышение привилегий до root, взломав оболочку rbash. Начиная с версии Fabric OS v9.1.0 доступ к учетной записи "root" отключен.