Cloud Manager
Уязвимости
21
Эксплуатируемые
1
Макс. CVSS
10
Макс. EPSS
0.99999
Распределение по критичности
Критический
3
Высокий
9
Средний
8
Низкий
1
Затронутые диапазоны версий
< 3.9.10< 3.9.4< 3.9.8< 3.9.9
Также сопоставлено как (исходные строки): vasa_provider_for_clustered_data_ontap,e-series_santricity_web_services,snapcenter_plug-in,storage_replication_adapter_for_clustered_data_ontap,brocade_san_navigator,e-series_performance_analyzer,snapcenter,cloud_manager,element_plug-in_for_vcenter_server,virtual_storage_console,e-series_santricity_os_controller,santricity_cloud_connector
Топ уязвимостей
BDU:2021-05969Уязвимость компонента JNDI библиотеки журналирования Java-программ Apache Log4j2 связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
CVE-2021-44228В Apache Log4j2 с 2.0-beta9 по 2.15.0 (исключая выпуски безопасности 2.12.2, 2.12.3 и 2.3.1) функции JNDI, используемые в конфигурации, сообщениях журнала и параметрах, не защищают от контролируемых злоумышленником LDAP и других связанных с JNDI конечных точек. Злоумышленник, который может контролировать сообщения журнала или параметры сообщений журнала, может выполнить произвольный код, загруженный с серверов LDAP, когда включена подстановка поиска сообщений. В log4j 2.15.0 это поведение отключено по умолчанию. В версии 2.16.0 (вместе с 2.12.2, 2.12.3 и 2.3.1) эта функция была полностью удалена. Обратите внимание, что эта уязвимость относится к log4j-core и не затрагивает log4net, log4cxx или другие проекты Apache Logging Services.
CVE-2021-26990Cloud Manager версий до 3.9.4 подвержен уязвимости, которая может позволить удаленному злоумышленнику перезаписывать произвольные системные файлы.
CVE-2020-25097Проблема обнаружена в Squid версий 4.13 и 5.x - 5.0.4. Из-за неправильной проверки входных данных он позволяет доверенному клиенту выполнять HTTP Request Smuggling и получать доступ к службам, в противном случае запрещенным средствами контроля безопасности. Это происходит для определенных настроек uri_whitespace.
CVE-2020-14058В Squid до версий 4.12 и 5.x до 5.0.3 обнаружена проблема. Из-за использования потенциально опасной функции Squid и вспомогательная программа проверки сертификатов по умолчанию уязвимы для отказа в обслуживании при открытии TLS-соединения с контролируемым злоумышленником сервером для HTTPS. Это происходит потому, что нераспознанные значения ошибок сопоставляются с NULL, но более поздний код ожидает, что каждое значение ошибки будет сопоставлено с допустимой строкой ошибки.
CVE-2021-28165В Eclipse Jetty с 7.2.2 по 9.4.38, с 10.0.0.alpha0 по 10.0.1 и с 11.0.0.alpha0 по 11.0.1 использование ЦП может достигать 100% при получении большого недопустимого TLS-кадра.
CVE-2021-27002NetApp Cloud Manager версий до 3.9.10 подвержен уязвимости, которая может позволить удаленному неаутентифицированному злоумышленнику извлекать конфиденциальные данные через веб-прокси.
CVE-2021-26992Cloud Manager версий до 3.9.4 подвержен уязвимости, которая может позволить удаленному злоумышленнику вызвать отказ в обслуживании (DoS).
CVE-2021-26991Cloud Manager версий до 3.9.4 содержит небезопасную политику совместного использования ресурсов между разными источниками (CORS), которая может позволить удаленному злоумышленнику взаимодействовать с Cloud Manager.
BDU:2021-06325Уязвимость библиотеки журналирования Java-программ Log4j существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании с помощью специально сформированного рекурсивного запроса
CVE-2021-28651Обнаружена проблема в Squid до версий 4.15 и 5.x до 5.0.6. Из-за ошибки управления буфером это позволяет вызвать отказ в обслуживании. При разрешении запроса со схемой urn: анализатор допускает небольшую утечку памяти. Однако существует неуказанная методология атаки, которая может легко вызвать большое потребление памяти.
CVE-2021-23337Версии Lodash до 4.17.21 уязвимы для Command Injection через функцию template.
CVE-2021-42550В logback версии 1.2.7 и более ранних версиях злоумышленник с необходимыми привилегиями для редактирования файлов конфигурации может создать вредоносную конфигурацию, позволяющую выполнять произвольный код, загруженный с серверов LDAP.
CVE-2021-31808Проблема обнаружена в Squid до версий 4.15 и 5.x до 5.0.6. Из-за ошибки проверки ввода он уязвим для атак типа «отказ в обслуживании» (против всех клиентов, использующих прокси). Клиент отправляет HTTP-запрос Range, чтобы вызвать это.
CVE-2021-31807Проблема обнаружена в Squid до версий 4.15 и 5.x до 5.0.6. Проблема переполнения целого числа позволяет удаленному серверу добиться отказа в обслуживании при доставке ответов на HTTP-запросы Range. Триггером проблемы является заголовок, который, как можно ожидать, будет существовать в HTTP-трафике без каких-либо злонамеренных намерений.
CVE-2021-31806Проблема обнаружена в Squid до версий 4.15 и 5.x до 5.0.6. Из-за ошибки управления памятью он уязвим для атак типа «отказ в обслуживании» (против всех клиентов, использующих прокси) через обработку HTTP-запросов Range.
CVE-2021-45105Версии Apache Log4j2 с 2.0-alpha1 по 2.16.0 (исключая 2.12.3 и 2.3.1) не защищали от неконтролируемой рекурсии из самоссылающихся просмотров. Это позволяет злоумышленнику, контролирующему данные Thread Context Map, вызвать отказ в обслуживании при интерпретации специально созданной строки. Эта проблема была исправлена в Log4j 2.17.0, 2.12.3 и 2.3.1.
CVE-2021-28164В Eclipse Jetty с 9.4.37.v20210219 по 9.4.38.v20210224 режим соответствия по умолчанию позволяет запросам с URI, содержащими сегменты %2e или %2e%2e, получать доступ к защищенным ресурсам в каталоге WEB-INF. Например, запрос к /context/%2e/WEB-INF/web.xml может получить файл web.xml. Это может раскрыть конфиденциальную информацию, касающуюся реализации веб-приложения.
CVE-2021-26999NetApp Cloud Manager версий до 3.9.9 регистрирует конфиденциальную информацию при сбое подключения Active Directory. Зарегистрированная информация доступна только аутентифицированным пользователям. Клиенты с включенным автоматическим обновлением уже должны использовать исправленную версию, а клиентам, использующим локальные коннекторы с отключенным автоматическим обновлением, рекомендуется обновиться до исправленной версии.
CVE-2021-26998NetApp Cloud Manager версий до 3.9.9 регистрирует конфиденциальную информацию, доступную только аутентифицированным пользователям. Клиенты с включенным автоматическим обновлением уже должны использовать исправленную версию, а клиентам, использующим локальные коннекторы с отключенным автоматическим обновлением, рекомендуется обновиться до исправленной версии.
CVE-2021-28163В Eclipse Jetty с 9.4.32 по 9.4.38, с 10.0.0.beta2 по 10.0.1 и с 11.0.0.beta2 по 11.0.1, если пользователь использует каталог webapps, который является символической ссылкой, содержимое каталога webapps развертывается как статическое веб-приложение, непреднамеренно обслуживая сами webapps и все остальное, что может находиться в этом каталоге.