Hewlett Packard Enterprise выпустила обновление для программного комплекса HPE Telco Service Orchestrator, закрывающее две уязвимости, одна из которых получила максимальный балл критичности по шкале CVSS. Обе проблемы связаны с некорректной обработкой входных данных и могут быть использованы удалённо без аутентификации.
Детали уязвимостей
Уязвимости зарегистрированы под идентификаторами CVE-2026-41284 и CVE-2026-41293. Первая из них оценивается в 7,5 балла и позволяет злоумышленнику вызвать отказ в обслуживании (DoS). Вторая, с оценкой 9,8 балла, потенциально даёт возможность полностью скомпрометировать систему: нарушить конфиденциальность, целостность данных и доступность сервиса. Вектор атаки для обеих уязвимостей предполагает сетевой доступ без специальных привилегий и без взаимодействия с пользователем.
Продукт HPE Telco Service Orchestrator применяется операторами связи для управления и автоматизации телекоммуникационных услуг. Ранее платформа носила название HPE Service Director - компания предупредила подписчиков, что при обновлении необходимо переоформить подписку на новое наименование продукта. Эксплуатация уязвимости CVE-2026-41293 в корпоративной среде способна привести к полному захвату управления над оркестратором, что, в свою очередь, может нарушить работу целых сетевых сервисов. Проблема CVE-2026-41284, хоть и менее опасна, при целенаправленной атаке способна сделать платформу недоступной, лишив оператора возможности предоставлять услуги абонентам.
"Данные проблемы безопасности были выявлены в ходе внутреннего тестирования и сторонних исследований. Рекомендуем клиентам как можно скорее установить патч", - говорится в бюллетене HPE (документ HPESBNW05070). Вендор также уточнил, что версия 5.6.1 включает в себя HPE Telco Service Activator v10.6.1, на который также требуется оформить подписку для полного обновления.
Для устранения уязвимостей необходимо обновить HPE Telco Service Orchestrator до версии 5.6.1 или новее. Обновление доступно через корпоративный портал лицензирования HPE. Временных решений или обходных путей, снижающих риск до установки патча, производитель не предоставил. Это означает, что единственным надёжным способом защиты остаётся немедленное применение исправления.
Ситуация с HPE Telco Service Orchestrator в очередной раз демонстрирует, как критически важные компоненты сетевой инфраструктуры становятся целью атак на ранних этапах эксплуатации уязвимостей. В телекоммуникационном секторе, где простой или компрометация системы оркестрации грозит потерей управления голосовыми и data-сервисами, закрытие подобных брешей требует первоочередного внимания. Пользователям продуктов HPE стоит проверить версию установленного ПО и, при необходимости, инициировать обновление без задержек.
Ссылки
