Se ha reportado un nuevo aviso de seguridad sobre 3 vulnerabilidades que afectan a Aruba Edge Connect Enterprise Orchestrator, que permitirían a un atacante no autenticado realizar ejecución remota de código (RCE), así como omitir el proceso de autenticación.
Las vulnerabilidades reportadas se componen de 3 (tres) de severidad “Crítica”. Las mismas se detallan a continuación:
- CVE-2022-37913 y CVE-2022-37914, de severidad “crítica”, con una puntuación asignada de 9.8. Estas vulnerabilidades se deben a una falla de autenticación en la interfaz web de administración de EdgeConnect Orchestrator. Esto permitiría a un atacante no autenticado omitir el proceso de autenticación y obtener acceso como administrador.
- CVE-2022-37915, de severidad “crítica”, con una puntuación asignada de 9.8. Esta vulnerabilidad se debe a una falla en la interfaz web de administración en EdgeConnect Orchestrator. Esto permitiría a un atacante no autenticado realizar ejecución remota de código (RCE) y así obtener el control completo del sistema afectado.
Las versiones afectadas son:
- Aruba EdgeConnect Enterprise Orchestrator, versiones 9.2.x previas a 9.2.0.40405.
- Aruba EdgeConnect Enterprise Orchestrator, versiones 9.1.x previas a 9.1.3.40197.
- Aruba EdgeConnect Enterprise Orchestrator, versiones 9.0.x previas a 9.0.7.40110.
- Aruba EdgeConnect Enterprise Orchestrator, versiones 8.10.x previas a 8.10.23.40015.
Puede acceder a la lista completa de los productos afectados en el siguiente enlace.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante en el siguiente enlace:
Referencias:
- https://www.bleepingcomputer.com/news/security/aruba-fixes-critical-rce-and-auth-bypass-flaws-in-edgeconnect/
- https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2022-015.txt
- https://www.cybersecurity-help.cz/vdb/SB2022101252
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-37913
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-37914
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-37915
- https://asp.arubanetworks.com/downloads