Vulnerabilidades del tipo cross-site scripting (XSS) y ejecución arbitraria de código en productos Aruba

03/03/2023 Noticias 0

Se ha reportado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a productos de ArubaOS y SD-WAN de Aruba, que permitirían a un atacante realizar ataques del tipo cross-site scripting (XSS), ejecución arbitraria de código, divulgación de información, entre otros. 

Las vulnerabilidades reportadas se componen de 6 (seis) de severidad “Crítica”, 19 (diecinueve) de severidad “Alta” y 8 (ocho) de severidad “Media”. Las principales se detallan a continuación: 

  • CVE-2023-22747, CVE-2023-22748, CVE-2023-22749 y CVE-2023-22750, de severidad “Crítica”, con una puntuación asignada de 9.8. Estas vulnerabilidades de inyección de comandos se deben a una falla de seguridad en PAPI (Process Application Programming Interface) de Aruba. Esto permitiría a un atacante no autenticado a través de paquetes especialmente diseñados enviados al puerto UDP (8211), realizar ejecución remota de código (RCE) en el sistema afectado. 
  • CVE-2023-22751 y CVE-2023-22752, de severidad “Crítica”, con una puntuación asignada de 9.8. Estas vulnerabilidades de desbordamiento de buffer se deben a una falla de gestión de memoria en PAPI (Process Application Programming Interface) de Aruba. Esto permitiría a un atacante no autenticado a través de paquetes especialmente diseñados enviados al puerto UDP (8211), realizar ejecución remota de código (RCE) en el sistema afectado. 

Las versiones afectadas son: 

  • ArubaOS, versión 8.6.0.19 y anteriores. 
  • ArubaOS, versión 8.10.0.4 y anteriores. 
  • ArubaOS, versión 10.3.1.0 y anteriores. 
  • SD-WAN, versión 8.7.0.0-2.3.0.8 y anteriores. 

Puede acceder a la lista completa de los productos afectados en el siguiente enlace.  

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante en el siguiente enlace: 

Referencias:  

Compartir: