Descripción de la vulnerabilidad:
- El CVE asignado a esta vulnerabilidad es el CVE-2011-2654.
- El fallo se encuentra en la implementación de los métodos RPC. Al no realizar una validación suficiente de los datos suministrados por el usuario, proceden a la creación de una sesión parcialmente inicializada.
- Esta sesión parcialmente inicializada es la que permitirá, sin necesidad de ningún tipo de autenticación, realizar llamadas RPC privilegiadas en el servidor, y por lo tanto, ejecutar código arbitrario en el contexto sobre el que esté funcionando el servicio explotado. No se han dado más detalles de dicha vulnerabilidad.
- Las versiones afectadas son Novell Cloud Manager 1.1.x y PlateSpin Orchestrate 2.6.0.
- Novell ya ha publicado un parche que solventa esta vulnerabilidad.