Vulnerabilidades de Cross-site Scripting (XSS) almacenado y ejecución remota de código (RCE) en productos Aruba

Se ha reportado un nuevo aviso de seguridad sobre tres vulnerabilidades que afectan a productos Aruba, que permitirían a un atacante remoto realizar ataques del tipo Cross-site Scripting (XSS) almacenado, ejecución de código arbitrario y corrupción de memoria en el sistema afectado. 

Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Alta” y 2 (dos) de severidad “Media”. Las mismas se detallan a continuación: 

• CVE-2023-39266, de severidad “Alta” y con puntuación asignada de 8.3. Esta vulnerabilidad se debe a una falla de validación de datos de entrada del usuario en la interfaz de administración web de ArubaOS-Switch. Esto permitiría a un atacante no autenticado realizar ataques del tipo Cross-Site Scripting (XSS) almacenado y ejecutar código JavaScript arbitrario en el navegador de la víctima desde la interfaz web afectada. 

• CVE-2023-39267, de severidad “Media” y con puntuación asignada de 6.6. Esta vulnerabilidad se debe a una falla de seguridad en la interfaz de línea de comandos de ArubaOS-Switch. Esto permitiría a un atacante autenticado realizar ejecución remota de código (RCE) y provocar denegación de servicios (DoS) en el sistema afectado. 

• CVE-2023-39268, de severidad “Media” y con puntuación asignada de 4.5. Esta vulnerabilidad se debe a una falla de gestión de memoria en ArubaOS-Switch. Esto permitiría a un atacante no autenticado realizar ejecución remota de código (RCE) como usuario con privilegios en el sistema operativo subyacente. 

Algunos productos afectados son: 

• HPE Aruba Networking Switch Models: Aruba 5400R Series Switches. 
• HPE Aruba Networking Switch Models: Aruba 3810 Series Switches. 
• HPE Aruba Networking Switch Models: Aruba 2920 Series Switches. 
• ArubaOS-Switch 16.11.xxxx: KB/WC/YA/YB/YC.16.11.0012 y anteriores. 
• ArubaOS-Switch 16.10.xxxx: KB/WC/YA/YB/YC.16.10.0025 y anteriores. 
• ArubaOS-Switch 16.10.xxxx: WB.16.10.23 y anteriores. 

Se puede acceder al listado completo de productos afectados aquí 

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante el siguiente enlace: 

• https://asp.arubanetworks.com/downloads 

Referencias: 

• https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-arubaos-switch-de-hpe-aruba 
• https://nvd.nist.gov/vuln/detail/CVE-2023-39266 
• https://nvd.nist.gov/vuln/detail/CVE-2023-39267 
• https://nvd.nist.gov/vuln/detail/CVE-2023-39268 
• https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-013.txt 
• https://asp.arubanetworks.com/downloads