Resumen ejecutivo
Se han identificado vulnerabilidades de alto impacto en productos HPE. Entre ellas se encuentran una vulnerabilidad crítica que permite la modificación de detalles de autenticación en aserciones SAML, y otras vulnerabilidades serias que pueden llevar a denegaciones de servicio y posibles inyecciones SQL. El impacto más crítico se relaciona con la amenaza de ataques remotos, que pueden comprometer la seguridad general del sistema. La urgencia de las medidas correctivas es elevada, especialmente para la vulnerabilidad crítica con CVSS de 10.0, que requiere acción inmediata, y para aquellas con puntuaciones de 7.0-8.9, que deben ser abordadas sin demora para mitigarse eficazmente. Implementar parches y actualizaciones es esencial para garantizar la seguridad.
Recursos afectados
- HPE Telco Service Orchestrator (versiones afectadas: anteriores a v5.3.5)
Análisis técnico
- CVE-2025-54419: Node-SAML, en la versión 5.0.1, tiene una vulnerabilidad que permite a un atacante modificar detalles de autenticación en una aserción SAML válida al cargar la respuesta original sin verificar su firma. Esto puede comprometer la seguridad de la autenticación. Para explotar esta vulnerabilidad, el atacante necesita un documento firmado válidamente por el proveedor de identidad (IdP). Esta falla se corrigió en la versión 5.1.0.
- CWE-287
- CVSS: 10.0 (crítica)
- Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N
- Explotación: No detectada
- CVE-2025-58754: Axios tiene una vulnerabilidad en la que, al utilizar versiones anteriores a 0.30.2 y 1.12.0 en Node.js con una URL del esquema `data:`, no realiza una solicitud HTTP adecuada y carga todo el contenido en memoria. Esto permite que un atacante envíe una URI `data:` muy grande, lo que puede causar que el proceso consuma memoria sin límites y se bloquee (DoS), incluso si se solicita `responseType: 'stream'`. Las versiones 0.30.2 y 1.12.0 ya contienen un parche para este problema.
- CWE-770
- CVSS: 7.5 (alta)
- Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
- Explotación: No detectada
- CVE-2025-5878: Se ha descubierto una vulnerabilidad en ESAPI esapi-java-legacy que afecta a la función Encoder.encodeForSQL, permitiendo una neutralización incorrecta de elementos especiales, lo que facilita inyecciones SQL. El impacto potencial incluye la posibilidad de ataques remotos, ya que se ha publicado un exploit. No se requieren condiciones especiales para la explotación. La actualización a la versión 2.7.0.0 soluciona este problema y deshabilita la función por defecto con advertencias para el usuario.
- CWE-20
- CVSS: 7.3 (alta)
- Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
- Explotación: No detectada
- CVE-2025-8916: Se ha detectado una vulnerabilidad de asignación de recursos sin límites en Bouncy Castle para Java, lo que permite una asignación excesiva de recursos. Este problema puede conducir a una denegación de servicio si se explota correctamente. No se especifican requisitos de explotación particulares, lo que sugiere que podría ser posible desencadenar esta vulnerabilidad sin condiciones específicas. Afecta a las versiones desde BC 1.44 hasta 1.78 y varias versiones de BCPKIX FIPS.
- CWE-770
- CVSS: CVSS Score no encontrado
- Vector CVSS: Vector CVSS no encontrado
- Explotación: No detectada
Mitigación / Solución
HPE recomienda actualizar a HPE Telco Service Orchestrator v5.3.5 o versiones posteriores para resolver las vulnerabilidades identificadas. La actualización se puede descargar en https://myenterpriselicense.hpe.com/. Además, si ya está suscrito a "HPE Service Director", se debe asegurar la suscripción a "HPE Telco Service Orchestrator".