Hyperflex Hx Data Platform
Уязвимости
15
Эксплуатируемые
2
Макс. CVSS
9.8
Макс. EPSS
0.99999
Распределение по критичности
Критический
2
Высокий
4
Средний
8
Низкий
1
Затронутые диапазоны версий
< 4.0\(2a\)< 4.0\(2e\)
Также сопоставлено как (исходные строки): hyperflex_hx_data_platform
Топ уязвимостей
CVE-2021-1498Множественные уязвимости в веб-интерфейсе управления Cisco HyperFlex HX могут позволить не прошедшему проверку подлинности удаленному злоумышленнику выполнять атаки с внедрением команд на уязвимое устройство. Для получения дополнительной информации об этих уязвимостях см. раздел «Подробности» данного отчета.
CVE-2021-1497Множественные уязвимости в веб-интерфейсе управления Cisco HyperFlex HX могут позволить не прошедшему проверку подлинности удаленному злоумышленнику выполнять атаки с внедрением команд на уязвимое устройство. Для получения дополнительной информации об этих уязвимостях см. раздел «Подробности» данного отчета.
CVE-2019-1958Уязвимость в веб-интерфейсе управления Cisco HyperFlex Software может позволить неаутентифицированному удаленному злоумышленнику провести атаку с подделкой межсайтовых запросов (CSRF) на уязвимой системе. Уязвимость связана с недостаточной защитой CSRF для веб-интерфейса пользователя на уязвимом устройстве. Злоумышленник может воспользоваться этой уязвимостью, убедив пользователя интерфейса перейти по вредоносной ссылке. Успешная эксплуатация может позволить злоумышленнику выполнять произвольные действия с уровнем привилегий затронутого пользователя.
CVE-2018-15380Уязвимость в диспетчере кластерных служб программного обеспечения Cisco HyperFlex может позволить неаутентифицированному смежному злоумышленнику выполнять команды от имени пользователя root. Уязвимость связана с недостаточной проверкой входных данных. Злоумышленник может использовать эту уязвимость, подключившись к диспетчеру кластерных служб и внедрив команды в связанный процесс. Успешная эксплуатация может позволить злоумышленнику выполнять команды на затронутом хосте от имени пользователя root. Эта уязвимость затрагивает выпуски программного обеспечения Cisco HyperFlex до 3.5(2a).
CVE-2018-15382Уязвимость в программном обеспечении Cisco HyperFlex может позволить неаутентифицированному удаленному злоумышленнику создавать действительные подписанные токены сеанса. Уязвимость связана со статическим ключом подписи, который присутствует во всех системах Cisco HyperFlex. Злоумышленник может использовать эту уязвимость, получив доступ к статическому ключу подписи из одной системы HyperFlex и используя его для создания действительных подписанных токенов сеанса для другой системы HyperFlex. Успешная эксплуатация может позволить злоумышленнику получить доступ к веб-интерфейсу HyperFlex системы, для которой он не авторизован.
CVE-2019-1664Уязвимость в службе hxterm программного обеспечения Cisco HyperFlex может позволить не прошедшему проверку подлинности локальному злоумышленнику получить root-доступ ко всем узлам кластера. Уязвимость связана с недостаточными средствами контроля подлинности. Злоумышленник может воспользоваться этой уязвимостью, подключившись к службе hxterm в качестве непривилегированного локального пользователя. Успешная эксплуатация может позволить злоумышленнику получить root-доступ ко всем узлам-членам кластера HyperFlex. Эта уязвимость затрагивает выпуски программного обеспечения Cisco HyperFlex до 3.5(2a).
CVE-2023-20263Уязвимость в веб-интерфейсе управления Cisco HyperFlex HX Data Platform может позволить не прошедшему проверку подлинности удаленному злоумышленнику перенаправить пользователя на вредоносную веб-страницу.
Эта уязвимость связана с неправильной проверкой входных данных параметров в HTTP-запросе. Злоумышленник может воспользоваться этой уязвимостью, убедив пользователя щелкнуть специально созданную ссылку. Успешная эксплуатация может позволить злоумышленнику перенаправить пользователя на вредоносный веб-сайт.
CVE-2019-1665Уязвимость в веб-интерфейсе управления программного обеспечения Cisco HyperFlex может позволить не прошедшему проверку подлинности удаленному злоумышленнику провести межсайтовую скриптовую атаку (XSS) на пользователя веб-интерфейса управления уязвимой системы. Уязвимость связана с недостаточной проверкой введенных пользователем данных веб-интерфейсом управления уязвимой системы. Злоумышленник может воспользоваться этой уязвимостью, убедив пользователя интерфейса щелкнуть вредоносную ссылку. Успешная эксплуатация может позволить злоумышленнику выполнить произвольный код сценария в контексте уязвимого интерфейса или получить доступ к конфиденциальной информации на основе браузера. Уязвимы версии до 3.5(1a).
CVE-2017-12315Уязвимость в системном журнале при настройке репликации с помощью Cisco HyperFlex System может позволить аутентифицированному локальному злоумышленнику просматривать конфиденциальную информацию, которая должна быть ограничена в файлах системного журнала. Злоумышленник должен быть аутентифицирован как административный пользователь для проведения этой атаки. Уязвимость связана с отсутствием надлежащей маскировки конфиденциальной информации в файлах системного журнала. Злоумышленник может воспользоваться этой уязвимостью, аутентифицировавшись на целевом устройстве и просмотрев файл системного журнала. Эксплойт может позволить злоумышленнику просматривать конфиденциальную системную информацию, которая должна была быть ограничена. Злоумышленник может использовать эту информацию для проведения дополнительных разведывательных атак. Идентификаторы ошибок Cisco: CSCvg31472.
CVE-2018-15407Уязвимость в процессе установки программного обеспечения Cisco HyperFlex может позволить прошедшему проверку подлинности локальному злоумышленнику прочитать конфиденциальную информацию. Уязвимость связана с недостаточной очисткой установочных файлов. Злоумышленник может воспользоваться этой уязвимостью, получив доступ к остаточным установочным файлам в уязвимой системе. Успешная эксплуатация может позволить злоумышленнику собрать конфиденциальную информацию о конфигурации системы.
CVE-2021-1499Уязвимость в веб-интерфейсе управления платформы данных Cisco HyperFlex HX может позволить не прошедшему проверку подлинности удаленному злоумышленнику загружать файлы на уязвимое устройство. Эта уязвимость связана с отсутствием аутентификации для функции загрузки. Злоумышленник может воспользоваться этой уязвимостью, отправив определенный HTTP-запрос на уязвимое устройство. Успешная эксплуатация может позволить злоумышленнику загружать файлы на уязвимое устройство с разрешениями пользователя tomcat8.
CVE-2019-1666Уязвимость в службе Graphite программного обеспечения Cisco HyperFlex может позволить не прошедшему проверку подлинности удаленному злоумышленнику извлекать данные из службы Graphite. Уязвимость связана с недостаточными средствами контроля подлинности. Злоумышленник может воспользоваться этой уязвимостью, отправляя специально созданные запросы в службу Graphite. Успешная эксплуатация может позволить злоумышленнику извлекать любую статистику из службы Graphite. Уязвимы версии до 3.5(2a).
CVE-2018-15429Уязвимость в веб-интерфейсе Cisco HyperFlex HX Data Platform Software может позволить не прошедшему проверку подлинности удаленному злоумышленнику получить доступ к конфиденциальной информации в уязвимой системе. Уязвимость связана с отсутствием надлежащего ввода и авторизации HTTP-запросов. Злоумышленник может воспользоваться этой уязвимостью, отправив вредоносный HTTP-запрос в веб-интерфейс уязвимой системы. Успешная эксплуатация может позволить злоумышленнику получить доступ к файлам, которые могут содержать конфиденциальные данные.
CVE-2018-15423Уязвимость в веб-интерфейсе Cisco HyperFlex Software может позволить не прошедшему проверку подлинности удаленному злоумышленнику повлиять на целостность устройства с помощью атаки clickjacking. Уязвимость связана с недостаточной проверкой входных данных iFrame в HTTP-запросах, отправляемых на уязвимое устройство. Злоумышленник может воспользоваться этой уязвимостью, отправив специально созданные HTTP-пакеты со вредоносными данными iFrame. Успешная эксплуатация может позволить злоумышленнику провести атаку clickjacking, в результате которой пользователь будет обманом заставлен нажать на вредоносную ссылку.
CVE-2019-1667Уязвимость в интерфейсе Graphite программного обеспечения Cisco HyperFlex может позволить прошедшему проверку подлинности локальному злоумышленнику записывать произвольные данные в интерфейс Graphite. Уязвимость связана с недостаточными средствами контроля авторизации. Злоумышленник может воспользоваться этой уязвимостью, подключившись к службе Graphite и отправив произвольные данные. Успешная эксплуатация может позволить злоумышленнику записывать произвольные данные в Graphite, что может привести к отображению недействительной статистики в интерфейсе. Уязвимы версии до 3.5(2a).