Múltiples vulnerabilidades en productos HPE 

Se han reportado múltiples vulnerabilidades que afectan a productos HPE, que podrían permitir a un atacante realizar ejecución remota de código (RCE), denegación del servicio (DoS), divulgación de información sensible y modificación no autorizada de información local. 

Las vulnerabilidades reportadas se componen 12 (doce) de severidad “Alta”. Las mismas se detallan a continuación:  

• CVE-2022-28626 de severidad Alta, sin una puntuación asignada aún. Esta vulnerabilidad se debe a una falla en el firmware HPE Integrated Lights-Out 5 (iLO 5). Esto permitiría a un atacante remoto realizar ejecución de código arbitrario local en el sistema 

• CVE-2022-28631 de severidad alta, sin una puntuación asignada aún. Esta vulnerabilidad se debe a una falla en el firmware HPE Integrated Lights-Out 5 (iLO 5). Esto permite a un atacante local realizar Ejecución de código arbitrario adyacente, Denegación de servicio (DoS) 

• CVE-2022-28633 de severidad alta, con una puntuación asignada aún. Esta vulnerabilidad se debe a una falla en el firmware HPE Integrated Lights-Out 5 (iLO 5). Esto permite a un atacante local realizar divulgación local de información confidencial, Modificación local de datos no autorizados. 

Para visualizar la lista detallada de las vulnerabilidades subsanadas, ingresar a este enlace. 

Algunos productos afectados son: 

• HPE Integrated Lights-Out 5 (iLO 5) para servidores HPE Gen10: anterior a la versión 2.71 
• Sistema HPE Apollo 2000 Gen10 Plus: anterior a la versión 2.71 
• Sistema HPE Apollo 4200 Gen10 Plus: anterior a la versión 2.71 
• Servidor HPE Apollo 4200 Gen10 – Anterior a la versión 2.71 – Servidor HPE ProLiant XL420 Gen10 
• Sistema HPE Apollo 4510 Gen10: anterior a la versión 2.71 
• Sistema HPE Apollo 6500 Gen10 Plus: anterior a la versión 2.71 
• Sistema HPE Apollo 6500 Gen10: anterior a la versión 2.71 
• HPE Apollo n2600 Gen10 Plus: anterior a la versión 2.71 
• HPE Apollo n2800 Gen10 Plus: anterior a la versión 2.71 
• Chasis HPE Apollo r2000 – Antes de 2.71 – HPE Apollo r2800 Gen10 , r2600 Gen10, r2800 Gen10 
• Servidor blade HPE Edgeline e920: anterior a la versión 2.71 
• Servidor blade HPE Edgeline e920d: anterior a la versión 2.71 
• Servidor blade HPE Edgeline e920t: anterior a la versión 2.71 
• Servidor HPE ProLiant DL20 Gen10 Plus: anterior a la versión 2.71 
• Servidor blade HPE ProLiant BL460c Gen10: anterior a la versión 2.71 

Para Acceder al listado completo de productos afectados acceda aquí. 

Se recomienda acceder a las actualizaciones proporcionadas por HPE en el siguiente enlace: 

• https://support.hpe.com/connect/s/?language=en_US  

Referencias: 

• https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-productos-hpe-9 
• https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=hpesbhf04333en_us 
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-28626 
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-28631 
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-28633