CVE-2021-32525

QSAN Storage Manager - Use of Hard-coded Password-2

CVSS 9.1 CRITICALEPSS 1.7%CWE-259

Em resumo

O QSAN Storage Manager possui uma senha pré-programada no firmware que permite qualquer pessoa fazer login como administrador e executar comandos perigosos do sistema. Esta é uma falha crítica porque atacantes podem controlar remotamente todo o sistema de armazenamento.

Detalhe técnico

A vulnerabilidade existe no firmware do QSAN Storage Manager devido a uma senha de modo debug codificada na aplicação. Atacantes remotos podem se autenticar na interface de controle com privilégios de administrador e executar instruções arbitrárias do sistema sem autorização apropriada, contornando mecanismos de autenticação. A exploração requer acesso de rede ao serviço afetado e conhecimento da credencial pré-programada.

Resumo gerado e traduzido por IA a partir da descrição oficial.

The same hard-coded password in QSAN Storage Manager's in the firmware allows remote attackers to access the control interface with the administrator’s credential, entering the hard-coded password of the debug mode to execute the restricted system instructions. The referred vulnerability has been solved with the updated version of QSAN Storage Manager v3.3.3.

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

Produtos afetados

QSAN · Storage Manager

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://www.twcert.org.tw/tw/cp-132-4881-959d3-1.html