HPE Alletra und Nimble Storage: Sicherheitslücke ermöglicht Rechteausweitung über Fernzugriff

HPE behebt Schwachstelle in Storage-Systemen mit Fernzugriffs-Risiko

Hewlett Packard Enterprise hat ein Sicherheitsupdate für mehrere Storage-Produktlinien veröffentlicht. Die Lücke betrifft spezifische Konfigurationen und könnte Angreifern erweiterte Zugriffsrechte verschaffen.

Betroffene Systeme und Versionen

Die Sicherheitslücke wurde in den folgenden HPE-Produkten identifiziert:

HPE Alletra 6000 weist die Schwachstelle in allen Versionen vor 6.1.2.800 sowie in der 6.1.3-Linie vor Version 6.1.3.300 auf. Gleiches gilt für HPE Alletra 5000 und die Nimble Storage-Reihe, die sowohl Hybrid Flash Arrays als auch All Flash Arrays umfasst.

Art der Sicherheitslücke

Bei der dokumentierten Schwachstelle handelt es sich um eine Verwundbarkeit, die unter bestimmten Systemkonfigurationen eine Rechteausweitung durch externe Akteure ermöglichen kann. Die Lücke trägt die CVE-Kennung CVE-2026-23594.

HPE nutzt für die Risikobewertung das CVSS-System in Version 3.1, wie in der Kundenmitteilung HPSN-2008-002 festgelegt. Sofern das National Institute of Standards and Technology (NIST) eigene Bewertungen bereitstellt, werden diese gemäß den Angaben der National Vulnerability Database ebenfalls in Version 3.1 dargestellt.

Verfügbare Sicherheitsupdates

Der Hersteller hat zwei Softwareversionen zur Verfügung gestellt, die die Schwachstelle beheben:

Alletra OS 6.1.2.800 sowie Alletra OS 6.1.3.300 schließen die identifizierte Sicherheitslücke vollständig. Anwender sollten die Updates entsprechend ihrer installierten Versionslinie einspielen.

Implementierungshinweise

Bei der Installation von Sicherheitspatches auf Systemen mit HPE-Software sollten Administratoren ihre unternehmensinternen Patch-Management-Prozesse befolgen. Dies gilt insbesondere für Updates von Drittanbietern.

HPE empfiehlt Kunden, sich bei technischen Fragen zur Umsetzung der Sicherheitsempfehlungen an die regulären Support-Kanäle zu wenden. Inhaltliche Rückfragen zum Sicherheitsbulletin können per E-Mail an security-alert@hpe.com gerichtet werden.

Zeitlicher Ablauf

Das HPE Product Security Response Team veröffentlichte das Sicherheitsbulletin am 20. Januar 2026 in seiner ersten Version. Die Empfehlung lautet, zeitnah auf die bereitgestellten Versionen zu migrieren, um das Risiko einer Kompromittierung zu minimieren.

Quelle: Hewlett Packard Enterprise Product Security Response Team, Januar 2026

Entdecke mehr

Bild/Quelle: https://depositphotos.com/de/home.html