La página de administración del sistema de Hewlett Packard, una interfaz web de administración para ProLiant y servidores integrity, tiene un problema de seguridad crítico que permite a los atacantes autenticarse remotamente e inyectar comandos dentro del sistema mediante peticiones HTTP personalizadas.

El servidor que proporciona la interfaz web inserta una parte de la dirección solicitada en un comando exec() sin ninguna verificación previa. Un ejemplo de cómo podría verse la petición HTTP es:

https://<host>:2381/smhutil/snmpchp.php.en/&&<cmd>&&echo (full file name)

El 19 de abril, se notificó a HP de la vulnerabilidad, sin embargo, Daimler TSS de Offensive Security, miembro del equipo de Markus Wultange, fue quien descubrió la vulnerabilidad y explicó que ésta no es fácil de explotar por que los caracteres "<", ">", "|" y "/" no son permitidos. Hasta que la vulnerabilidad no sea corregida, la interfaz web no debería estar disponible en Internet.

Markus Wulftange informó anteriormente problemas de seguridad en herramienta de administración de servidor HP Insight Diagnostics.