Se ha lanzado una actualización de seguridad para abordar múltiples vulnerabilidades en varios componentes de terceros de Dell NetWorker Management Console. Estas, si se explotan, podrían permitir a un actor malicioso comprometer el sistema afectado.
Productos afectados
- Consola de administración de NetWorker, versión 19.12
- Consola de administración de NetWorker, versiones anteriores a 19.11.0.5
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2024-45491: con una puntuación de 9.8 en CVSS v3.1. Existe una vulnerabilidad de desbordamiento de enteros en dtdCopy (libexpat <2.6.3) donde nDefaultAtts excede los límites en sistemas de 32 bits (UINT_MAX = SIZE_MAX).
CVE-2024-45492: con una puntuación de 9.8 en CVSS v3.1. Existe una vulnerabilidad de desbordamiento de enteros en nextScaffoldPart (libexpat <2.6.3) donde m_groupSize podría exceder límites en sistemas de 32 bits (UINT_MAX = SIZE_MAX).
CVE-2024-10979: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad de control incorrecto de las variables de entorno en PostgreSQL PL/Perl, que podría permitir que un usuario de base de datos sin privilegios modifique variables de entorno de proceso sensibles.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
https://www.dell.com/support/kbdoc/en-us/000306302/dsa-2025-176-security-update-for-dell-networker-management-console-multiple-third-party-component-vulnerabilities
https://nvd.nist.gov/vuln/detail/CVE-2024-10979
https://nvd.nist.gov/vuln/detail/cve-2024-45492
https://nvd.nist.gov/vuln/detail/cve-2024-45491