Vulnerabilidades de ejecución arbitraria de código y divulgación de información en productos Aruba

28/07/2023 Noticias 0

Se ha reportado un nuevo aviso de seguridad sobre cuatro vulnerabilidades que afectan a ArubaOS y InstantOS de Aruba, que permitirían a un atacante realizar ejecución arbitraria de código, divulgación de información, entre otros. 

Las vulnerabilidades reportadas se componen de 3 (tres) de severidad “Crítica” y 1 (una) de severidad “Alta”. Las mismas se detallan a continuación: 

  • CVE-2023-35980, CVE-2023-35981 y CVE-2023-35982, de severidad “Crítica”, con una puntuación asignada de 9.8. Estas vulnerabilidades del tipo buffer overflow presente en varios de los servicios subyacentes de los dispositivos afectados podrían permitir la ejecución remota de código no autenticado, escalamiento de privilegios mediante el envío de solicitudes especialmente diseñados al puerto UDP (8211) del protocolo de gestión de puntos de acceso de Aruba (PAPI).
  • CVE-2022-25667, de severidad “Alta”, con una puntuación asignada de 7.5. Esta vulnerabilidad se debe a una falla de gestión del protocolo ICMP en el componente Snapdragon Wired Infrastructure and Networking de Aruba. Esto permitiría a un atacante no autenticado mediante el envío de solicitudes ICMP especialmente diseñadas, realizar divulgación de información del kernel utilizado por los puntos de acceso en el sistema afectado. 

Algunos productos son: 

  • ArubaOS, versión 10.4.0.1 y anteriores; 
  • InstantOS, versión 8.11.1.0 y anteriores; 
  • InstantOS, versión 8.10.0.6 y anteriores; 
  • InstantOS, versión 8.6.0.20 y anteriores; 
  • InstantOS, versión 6.5.4.24 y anteriores; 

Puede acceder a la lista completa de los productos afectados en el siguiente enlace.  

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante en el siguiente enlace: 

Referencias:  

Compartir: