Laburpen exekutiboa
Bost ahultasun larriak identifikatu dira, CVSS puntuazioak 7.1etik 7.5era bitartean, hainbat software korporatiboetan. HPE AutoPass License Server (APLS) -eko hsqldb-rekin erlazionatutako ahultasun bat kodearen urrutiko exekuzioa ahalbidetzen du. Gainera, produktu berean hiru ahultasun aurkitu dira, autentifikazioaren bazterketa eta bypass-a eta informazioaren divulgazioa ahalbidetzen dutenak. Bestalde, Apache Kafka-k huts bat aurkezten du, autentifikatu gabe dauden erasotzaileei broker-etan memoria kopuru handiak esleitzea ahalbidetzen duena, zerbitzu ukapen bat eragin dezakeena. Azkenik, HPE Telco Service Orchestrator softwareak SQL inzektzio erasoak ahalbidetzen dituen ahultasun bat du. Segurtasun arazo guzti hauek larriak dira eta azkar arintzea beharrezkoa da, erabiltzaileei produktu kaltetuetako azken bertsioetara eguneratzea gomendatzen zaie segurtasun urraketak eta erasoak saihesteko.
Eragindako baliabideak
- HPE AutoPass License Server (APLS) - 9.18 baino lehenagoko bertsioak
- HPE Telco Service Orchestrator - v4.2.4 baino lehenagoko bertsioak
- HPE Telco Service Orchestrator - v5.2.1 baino lehenagoko bertsioak
Azterketa teknikoa
- CVE-2025-37105: HPE AutoPass License Server (APLS) -eko hsqldb-rekin erlazionatutako kodearen urrutiko exekuzioaren ahultasuna dago, 9.18 baino lehenagoko bertsioan.
- CWE N/A
- CVSS: 7.5 (handia)
- CVSS bektorea: CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
- Explotazioa: Ez da antzeman
- CVE-2022-34917: Apache Kafka-n segurtasun ahultasuna aurkitu da. Honek 2.8.0 bertsioaz geroztiko guztiak kaltetzen ditu. Ahultasunak autentifikatu gabe dauden bezero txarrak broker-etan memoria kopuru handiak esleitzea ahalbidetzen du. Honek broker-ek OutOfMemoryException bat izan dezakete eta zerbitzu ukapen bat eragin dezake. Eszenario adibideak: - Kafka klusterra autentifikaziorik gabe: Sare konexio bat ezarri dezakeen edozein bezero arazoa piztu dezake. - SASL autentifikazioa duen Kafka klusterra: Sare konexio bat ezarri dezakeen edozein bezero, SASL kredentzial baliodunak beharrezkoak ez direlarik, arazoa piztu dezake. - TLS autentifikazioa duen Kafka klusterra: TLS bidez ondo autentifikatu daitezkeen bezeroek bakarrik piztu dezakete arazoa. Gomendatzen dugu Kafka instalazioak 3.2.3, 3.1.2, 3.0.2, 2.8.2 bertsioetara eguneratzea.
- CWE-770
- CVSS: 7.5 (handia)
- CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
- Explotazioa: Ez da antzeman
- CVE-2025-37107: Autentifikazioaren bazterketa ahultasuna dago HPE AutoPass License Server (APLS) -en, 9.18 baino lehenagoko bertsioan.
- CWE N/A
- CVSS: 7.3 (handia)
- CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
- Explotazioa: Ez da antzeman
- CVE-2025-37106: Autentifikazioaren bypass ahultasuna eta informazioaren divulgazioa dago HPE AutoPass License Server (APLS) -en, 9.18 baino lehenagoko bertsioan.
- CWE N/A
- CVSS: 7.3 (handia)
- CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
- Explotazioa: Ez da antzeman
- CVE-2025-37104: Segurtasun ahultasuna aurkitu da HPE Telco Service Orchestrator softwarean. Ahultasunak autentifikatutako bezeroei SQL inzektzio erasoak egiteko aukera ematen die, zerbitzu eskaera bat bidaltzean, eta potenzialki datu-basearen hornitzailearen izena ez baimendutako bezero autentifikatuei irtenaraz dezakete.
- CWE N/A
- CVSS: 7.1 (handia)
- CVSS bektorea: CVSS:3.1/AV:A/AC:H/PR:L/UI:N/S:C/C:L/I:H/A:L
- Explotazioa: Ez da antzeman
Arintzea/Konponbidea
Hewlett Packard Enterprise (HPE) fabrikatzaileak gomendatzen du kaltetutako softwareak eguneratzea identifikatutako segurtasun arazoak arintzeko. HPE AutoPass License Server (APLS) -en aurkitutako ahultasunentzat, gomendatzen da 9.18 bertsiora eguneratzea, www.hpe.com/software/apls helbidean deskargatu daitekeena. HPE Telco Service Orchestrator-en identifikatutako urrutiko zerbitzu ukapenaren ahultasunerako, softwarea 4.2.4 edo hurrengo bertsiora eguneratzeko konponbidea eskaintzen da, myenterpriselicense.hpe.com helbidean deskargatu daitekeena. HPE Telco Service Orchestrator-en autentifikatutako SQL inzektzioaren ahultasunerako, gomendatzen da softwarea 5.2.1 edo hurrengo bertsiora eguneratzea, myenterpriselicense.hpe.com helbidean ere eskuragarri dagoena.