HP ha informado de 31 vulnerabilidades en su producto Device Manager, 5 de ellas de severidad crítica, cuya explotación podría permitir inyectar comandos y/o escalar privilegios.
 
Device Manager es una herramienta que sirve para administrar y gestionar todos los Thin Clients HP (Clientes Ligeros HP). Un Cliente Ligero es una computadora completa creada para ser lo más simple y ligera posible, asociada a un servidor.
 
Recursos afectados:
 
HP Device Manager, versiones:
 

• 5.0;
• 5.0 SP1;
• 5.0 SP2;
• 5.0.3;
• 5.0.4;
• 5.0.5;
• 5.0.6;
• 5.0.7;
• 5.0.7.1;
• 5.0.8;
• 5.0.9.

 
Detalles:
 
Las vulnerabilidades críticas podrían permitir acciones como ejecución remota de código, ejecución arbitraria de código, eliminación de propiedades criptográficas esperadas o contrabando de solicitudes (request smuggling) HTTP.
Se han asignado los identificadores CVE-2023-26298, CVE-2020-11103, CVE-2022-37454, CVE-2023-25690 y CVE-2022-36760 para estas vulnerabilidades.
El resto de identificadores CVE se pueden consultar en el listado proporcionado por el fabricante.
 
Solución:
 
Actualizar HP Device Manager a la versión 5.0.10.
 
Referencias:
 
HP Device Manager Security Updates (https://support.hp.com/in-en/document/ish_7974907-7974931-16/hpsbhf03842)