Se ha reportado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a productos de ArubaOS y SD-WAN de Aruba, que permitirían a un atacante realizar ataques del tipo cross-site scripting (XSS), ejecución arbitraria de código, divulgación de información, entre otros.
Las vulnerabilidades reportadas se componen de 6 (seis) de severidad “Crítica”, 19 (diecinueve) de severidad “Alta” y 8 (ocho) de severidad “Media”. Las principales se detallan a continuación:
- CVE-2023-22747, CVE-2023-22748, CVE-2023-22749 y CVE-2023-22750, de severidad “Crítica”, con una puntuación asignada de 9.8. Estas vulnerabilidades de inyección de comandos se deben a una falla de seguridad en PAPI (Process Application Programming Interface) de Aruba. Esto permitiría a un atacante no autenticado a través de paquetes especialmente diseñados enviados al puerto UDP (8211), realizar ejecución remota de código (RCE) en el sistema afectado.
- CVE-2023-22751 y CVE-2023-22752, de severidad “Crítica”, con una puntuación asignada de 9.8. Estas vulnerabilidades de desbordamiento de buffer se deben a una falla de gestión de memoria en PAPI (Process Application Programming Interface) de Aruba. Esto permitiría a un atacante no autenticado a través de paquetes especialmente diseñados enviados al puerto UDP (8211), realizar ejecución remota de código (RCE) en el sistema afectado.
Las versiones afectadas son:
- ArubaOS, versión 8.6.0.19 y anteriores.
- ArubaOS, versión 8.10.0.4 y anteriores.
- ArubaOS, versión 10.3.1.0 y anteriores.
- SD-WAN, versión 8.7.0.0-2.3.0.8 y anteriores.
Puede acceder a la lista completa de los productos afectados en el siguiente enlace.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante en el siguiente enlace:
Referencias:
- https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-productos-aruba-1
- https://nvd.nist.gov/vuln/detail/CVE-2023-22747
- https://nvd.nist.gov/vuln/detail/CVE-2023-22748
- https://nvd.nist.gov/vuln/detail/CVE-2023-22749
- https://nvd.nist.gov/vuln/detail/CVE-2023-22750
- https://nvd.nist.gov/vuln/detail/CVE-2023-22751
- https://nvd.nist.gov/vuln/detail/CVE-2023-22752
- https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-002.txt
- https://asp.arubanetworks.com/downloads