Laburpen exekutiboa
HPE produktuen ahultasunak identifikatu dira, eragin handikoak. Horien artean, SAML asertzioetan autentifikazio xehetasunak aldatzea ahalbidetzen duen ahultasun kritiko bat dago, eta zerbitzuen ukatzeak eta SQL injezio posibleak eragin ditzaketen beste ahultasun serio batzuk. Eragin kritikoena, sistema osoaren segurtasuna arriskuan jartzen duten erasoei lotuta dago. Neurri zuzentzaileen premia handia da, batez ere CVSS 10.0 duen ahultasun kritikoarentzat, ekintza berehalakoa eskatzen duena, eta 7.0-8.9 puntuazioak dituzten ahultasunentzat, azkar jorratu behar direnak modu eraginkorrean arintzeko. Parchak eta eguneratzeak ezartzea funtsezkoa da segurtasuna bermatzeko.
Eragindako baliabideak
- HPE Telco Service Orchestrator (baldintzatutako bertsioak: v5.3.5 baino lehen)
Azterketa teknikoa
- CVE-2025-54419: Node-SAML, 5.0.1 bertsioan, ahultasun bat du, erasotzaile batek SAML asertzio baliozko batean autentifikazio xehetasunak aldatzea ahalbidetzen duena, jatorrizko erantzuna sinadura egiaztatu gabe kargatuz. Honek autentifikazioaren segurtasuna arriskuan jar dezake. Ahultasun hau esplotatzeko, erasotzaileak identitate hornitzaileak (IdP) sinatutako dokumentu bat behar du. Akats hau 5.1.0 bertsioan konpondu zen.
- CWE-287
- CVSS: 10.0 (kritikoa)
- CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N
- Esplotazioa: Ez da detektatu
- CVE-2025-58754: Axios-ek ahultasun bat du, 0.30.2 eta 1.12.0 bertsioak Node.js-n `data:` esquema URL batekin erabiltzean, HTTP eskaera egokia ez egiten duena eta edukia oroimenera kargatzen duena. Honek erasotzaile batek `data:` URI oso handi bat bidaltzea ahalbidetzen du, prozesuak memoria mugagabean kontsumitzea eta blokeatzea (DoS) eragin dezake, `responseType: 'stream'` eskatzen bada ere. 0.30.2 eta 1.12.0 bertsioek arazo honen aurkako patch bat dute.
- CWE-770
- CVSS: 7.5 (altua)
- CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
- Esplotazioa: Ez da detektatu
- CVE-2025-5878: ESAPI esapi-java-legacy-n aurkitutako ahultasun bat dago, Encoder.encodeForSQL funtzioari eragiten diona, elementu bereziak modu okerrean neutralizatzea ahalbidetzen duena, SQL injezioak errazteko. Eragin potentzialak erasotzaile urrunentzako aukera barne hartzen du, exploit bat argitaratu baita. Esplotatzeko baldintza berezirik ez da behar. 2.7.0.0 bertsioan eguneratzeak arazo hau konpontzen du eta funtzioa desaktibatuta uzten du erabiltzailearentzako ohartarazpenekin.
- CWE-20
- CVSS: 7.3 (altua)
- CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
- Esplotazioa: Ez da detektatu
- CVE-2025-8916: Bouncy Castle Java-n baliabideak mugagabeak esleitzeko ahultasun bat identifikatu da, baliabide gehiegizko esleipena ahalbidetzen duena. Arazo honek zerbitzu ukatzea eragin dezake, ondo esplotatzen bada. Esplotatzeko baldintza berezirik ez da zehazten, beraz, ahultasun hau baldintza zehatzik gabe eragitea posible izan daiteke. BC 1.44 eta 1.78 bertsioetatik eta BCPKIX FIPS bertsio desberdinetatik eragiten du.
- CWE-770
- CVSS: CVSS Score ez da aurkitu
- CVSS bektorea: CVSS bektorea ez da aurkitu
- Esplotazioa: Ez da detektatu
Arintzea/Konponbidea
HPEk HPE Telco Service Orchestrator v5.3.5 edo ondorengo bertsioetara eguneratzea gomendatzen du identifikatutako ahultasunak konpontzeko. Eguneratzea https://myenterpriselicense.hpe.com/ webgunean deskargatu daiteke. Gainera, "HPE Service Director" zerbitzuan jada harpidetuta bazaude, "HPE Telco Service Orchestrator" zerbitzura harpidetza bermatu behar da.