Varios investigadores han reportado 33 vulnerabilidades en productos de Aruba, 6 de severidad crítica, 19 altas y 8 medias, cuya explotación podría permitir a un atacante realizar las siguientes acciones: Cross-Site Scripting (XSS), ejecución arbitraria de código y de comandos, eliminación arbitraria de archivos, divulgación de información sensible, desbordamiento de búfer y reutilización de sesiones. Las vulnerabilidades críticas se describen a continuación:Varias vulnerabilidades de inyección de comandos podrían conducir a una ejecución de código remota por parte de un atacante, no autenticado, mediante el envío de paquetes maliciosos al puerto UDP (8211) de PAPI (Process Application Programming Interface). Se han asignado los identificadores CVE-2023-22747, CVE-2023-22748, CVE-2023-22749 y CVE-2023-22750 para estas vulnerabilidades.Una serie de vulnerabilidades de desbordamiento de búfer podrían permitir la ejecución de código remota por parte de un atacante, no autenticado, mediante el envío de paquetes especialmente diseñados al puerto UDP (8211) de PAPI. Se han asignado los identificadores CVE-2023-22751 y CVE-2023-22752 para estas vulnerabilidades.El resto de identificadores CVE para vulnerabilidades altas y medias se pueden consultar en el aviso del fabricante.
Recursos afectados:
Los siguientes productos de Aruba se ven afectados:
- Aruba Mobility Conductor (anteriormente conocido como Mobility Master),
- Aruba Mobility Controllers,
- WLAN Gateways y SD-WAN Gateways gestionados por Aruba Central.
Versiones de software afectadas:
- ArubaOS 8.6.x.x: 8.6.0.19 y anteriores;
- ArubaOS 8.10.x.x: 8.10.0.4 y anteriores;
- ArubaOS 10.3.x.x: 10.3.1.0 y anteriores;
- SD-WAN 8.7.0.0-2.3.0.x: 8.7.0.0-2.3.0.8 y anteriores.
Todas las versiones de software de ArubaOS y SD-WAN que han llegado al final de su ciclo de vida (EOL) y se listan a continuación están afectadas por estas vulnerabilidades y no serán parcheadas:
- ArubaOS 6.5.4.x;
- ArubaOS 8.7.x.x;
- ArubaOS 8.8.x.x;
- ArubaOS 8.9.x.x;
- SD-WAN 8.6.0.4-2.2.x.x.
