Software UC – Alteração de senha não verificada
Uma possível vulnerabilidade foi descoberta em certos dispositivos Poly. Uma pessoa que pode tomar o controle de uma sessão de servidor da Web também pode alterar a senha de administrador sem saber da senha atual devido a uma verificação de autenticação inadequada.
- Gravidade
-
Média
- Referência HP
-
HPSBPY03899 Rev. 1
- Data de lançamento
-
9 de janeiro de 2024
- Última atualização
-
9 de janeiro de 2024
- Categoria
-
Poly
- Possível impacto na segurança
-
Elevação de privilégio e divulgação de informações
Lista de Vulnerabilidades e Exposições Comuns (CVE) relevantes
Reportada por: Modzero
|
ID de CVE |
CVSS |
Gravidade |
Vetor |
|---|---|---|---|
|
4.9 |
Média |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:N |
Saiba mais sobre a métrica básica CVSS 3.1, que varia de 0 a 10.
PSR-2024-0006
Resolução
A HP recomenda que os clientes desativem o servidor da Web e gerenciem os dispositivos por meio de um serviço separado de gerenciamento de dispositivos (Poly Lens) para reduzir o impacto potencial.
A HP identificou os produtos afetados e as versões mínimas do firmware correspondente que atenuam as possíveis vulnerabilidades. Veja os produtos afetados listados abaixo.
Versões mais recentes podem ser disponibilizadas, tornando obsoletas as versões mínimas listadas abaixo. Se um link de SoftPaq se tornar inválido, consulte o site Suporte ao cliente HP – Download de software e drivers para obter a atualização mais recente para o modelo do seu produto.
A HP recomenda manter o sistema atualizado com o firmware e o software mais recentes.
Nota:
Este boletim pode ser atualizado quando novas informações e/ou SoftPaqs estiverem disponíveis. Inscreva-se no HP Subscriptions para receber notificações e:
-
eAlerts de suporte ao produto
-
Atualizações de driver
-
Atualizações do Boletim de segurança
Produtos afetados
Identifique os produtos afetados por este problema.
|
Nome do produto |
Tipo de componente |
Versão do Firmware atualizada |
|---|---|---|
|
Trio 8300 |
Telefones de conferência |
Siga as instruções abaixo para desativar o servidor da Web |
|
Trio 8500 |
Telefones de conferência |
Siga as instruções abaixo para desativar o servidor da Web |
|
Trio 8800 |
Telefones de conferência |
Siga as instruções abaixo para desativar o servidor da Web |
|
Trio C60 |
Telefones de conferência |
Siga as instruções abaixo para desativar o servidor da Web |
|
CCX 350 |
Telefone de mesa |
Siga as instruções abaixo para desativar o servidor da Web |
|
CCX 400 |
Telefone de mesa |
Siga as instruções abaixo para desativar o servidor da Web |
|
CCX 500 |
Telefone de mesa |
Siga as instruções abaixo para desativar o servidor da Web |
|
CCX 505 |
Telefone de mesa |
Siga as instruções abaixo para desativar o servidor da Web |
|
CCX 600 |
Telefone de mesa |
Siga as instruções abaixo para desativar o servidor da Web |
|
CCX 700 |
Telefone de mesa |
Siga as instruções abaixo para desativar o servidor da Web |
|
EDGE E100 |
Telefone de mesa |
Siga as instruções abaixo para desativar o servidor da Web |
|
EDGE E220 |
Telefone de mesa |
Siga as instruções abaixo para desativar o servidor da Web |
|
Séries EDGE E300, E320 e E350 |
Telefone de mesa |
Siga as instruções abaixo para desativar o servidor da Web |
|
EDGE E300 |
Telefone de mesa |
Siga as instruções abaixo para desativar o servidor da Web |
|
EDGE E320 |
Telefone de mesa |
Siga as instruções abaixo para desativar o servidor da Web |
|
EDGE E350 |
Telefone de mesa |
Siga as instruções abaixo para desativar o servidor da Web |
|
Séries EDGE E400 e E450 |
Telefone de mesa |
Siga as instruções abaixo para desativar o servidor da Web |
|
EDGE E400 |
Telefone de mesa |
Siga as instruções abaixo para desativar o servidor da Web |
|
EDGE E450 |
Telefone de mesa |
Siga as instruções abaixo para desativar o servidor da Web |
|
Séries EDGE E500 e E550 |
Telefone de mesa |
Siga as instruções abaixo para desativar o servidor da Web |
|
EDGE E500 |
Telefone de mesa |
Siga as instruções abaixo para desativar o servidor da Web |
|
EDGE E550 |
Telefone de mesa |
Siga as instruções abaixo para desativar o servidor da Web |
|
VVX 101 |
Telefone de mesa |
Siga as instruções abaixo para desativar o servidor da Web |
|
VVX 150 |
Telefone de mesa |
Siga as instruções abaixo para desativar o servidor da Web |
|
VVX 201 |
Telefone de mesa |
Siga as instruções abaixo para desativar o servidor da Web |
|
VVX 250 |
Telefone de mesa |
Siga as instruções abaixo para desativar o servidor da Web |
|
VVX 300 |
Telefone de mesa |
Siga as instruções abaixo para desativar o servidor da Web |
|
VVX 301 |
Telefone de mesa |
Siga as instruções abaixo para desativar o servidor da Web |
|
VVX 310 |
Telefone de mesa |
Siga as instruções abaixo para desativar o servidor da Web |
|
VVX 311 |
Telefone de mesa |
Siga as instruções abaixo para desativar o servidor da Web |
|
VVX 350 |
Telefone de mesa |
Siga as instruções abaixo para desativar o servidor da Web |
|
VVX 400 |
Telefone de mesa |
Siga as instruções abaixo para desativar o servidor da Web |
|
VVX 401 |
Telefone de mesa |
Siga as instruções abaixo para desativar o servidor da Web |
|
VVX 410 |
Telefone de mesa |
Siga as instruções abaixo para desativar o servidor da Web |
|
VVX 411 |
Telefone de mesa |
Siga as instruções abaixo para desativar o servidor da Web |
|
VVX 450 |
Telefone de mesa |
Siga as instruções abaixo para desativar o servidor da Web |
|
VVX 500 |
Telefone de mesa |
Siga as instruções abaixo para desativar o servidor da Web |
|
VVX 501 |
Telefone de mesa |
Siga as instruções abaixo para desativar o servidor da Web |
|
VVX 600 |
Telefone de mesa |
Siga as instruções abaixo para desativar o servidor da Web |
|
VVX 601 |
Telefone de mesa |
Siga as instruções abaixo para desativar o servidor da Web |
Histórico de revisões
Este documento foi revisado de acordo com as informações abaixo.
|
Versão |
Descrição |
Data |
|---|---|---|
|
1 |
Lançamento inicial |
9 de janeiro de 2024 |
Informações adicionais
Para obter mais informações, clique nestes links.
- Patches de segurança de terceiros
-
Os patches de segurança de terceiros que devem ser instalados em sistemas que estejam executando algum software HP devem ser aplicados de acordo com a política de gerenciamento de patches do cliente.
- Suporte
-
Em caso de problemas na implementação das recomendações deste boletim de segurança, para saber mais sobre as opções de suporte da HP, acesse http://www.hp.com/go/contacthp.
- Relatório
-
Para comunicar uma vulnerabilidade potencial de segurança de qualquer produto com suporte da HP, envie um e-mail para: hp-security-alert@hp.com.
- Assinar
-
Para assinar e receber futuros alertas dos boletins de segurança da HP por e-mail, acesse https://h41369.www4.hp.com/alerts-signup.php?lang=en&cc=US&jumpid=hpsc_profile.
- Arquivo de Boletins de segurança
-
Para visualizar os Boletins de segurança lançados, acesse https://support.hp.com/security-bulletins.
É altamente recomendável criptografar com PGP as informações relacionadas à segurança comunicadas à HP, especialmente informações sobre explorações.
Informações legais
Os procedimentos de gerenciamento e de segurança do sistema devem ser revistos com frequência para manter a integridade do sistema. A HP está continuamente revisando e aprimorando os recursos de segurança de produtos de software para fornecer aos clientes soluções seguras recentes.
A HP está distribuindo este Boletim de segurança amplamente para chamar a atenção dos usuários dos produtos HP afetados para as importantes informações de segurança contidas neste documento. A HP recomenda que todos os usuários façam uso destas informações para cada caso e tomem as medidas necessárias. A HP não garante que estas informações sejam precisas ou completas para todas as situações do usuário e, consequentemente, a HP não se responsabiliza por quaisquer danos resultantes do uso por parte do usuário nem pela desconsideração de informações fornecidas neste boletim. Na medida do permitido por lei, a HP se isenta de todas e quaisquer garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a um propósito específico, título e não violação.
© Copyright 2024 HP Development Company, L.P.
A HP Inc. (HP) não será responsabilizada por erros técnicos e editoriais ou omissões contidas neste documento. As informações aqui contidas são fornecidas “no estado em que se encontram”, sem garantias de qualquer tipo. Na medida do permitido por lei, nem a HP nem suas afiliadas, subcontratados ou fornecedores serão responsáveis por danos incidentais, especiais ou consequenciais, incluindo custos de paralisação; perda de lucros; danos relacionados ao processo de produtos ou serviços substitutos; ou perda de dados ou restauração de software. As informações apresentadas neste documento estão sujeitas a alteração sem aviso. “HP Inc.”, “HP” e os nomes dos produtos HP aqui consultados são marcas comerciais da HP Inc. ou dos seus membros nos Estados Unidos e em outros países. Outros nomes de produtos e empresas mencionados aqui podem ser marcas comerciais dos seus respectivos proprietários.
Digite um tópico para pesquisar em nossa biblioteca de conhecimento
Como podemos ajudar?
Precisa de ajuda?