Sina Kheirkhah (@SinSinology), de Summoning Team, ha reportado una vulnerabilidad de severidad alta y una de severidad crítica, que podrían permitir a un actor malicioso eludir la autenticación SSH o escribir archivos en ubicaciones arbitrarias.
- CVE-2023-34039: vulnerabilidad crítica de elusión de autenticación debido a la falta de generación de claves criptográficas únicas, por la cual un atacante con acceso a la red podría omitir la autenticación SSH para obtener acceso al CLI del producto afectado.
- CVE-2023-20890: vulnerabilidad de escritura arbitraria de archivos, la cual podría permitir a un atacante con permisos de administrador escribir archivos en ubicaciones arbitrarias, lo que podría resultar en una ejecución remota de código.
Recursos Afectados:
Aria Operations for Networks, versiones comprendidas entre la 6.x y la 6.11 (no incluida).
Solución:
Actualizar a la versión 6.11