Vulnérabilité critique dans des produits Aruba

Risques

• Exécution de code arbitraire sur le système
• Élévation de privilèges

Criticité

• Score CVSS v3.1: 9.8

La faille est activement exploitée

• Non.

Un correctif existe

• Oui.

Une mesure de contournement existe

• Oui.

La vulnérabilité exploitée est du type

CWE-94: Improper Control of Generation of Code ('Code Injection')

Détails sur l’exploitation

• Vecteur d’attaque : Réseau.
• Complexité de l’attaque : Faible.
• Privilèges nécessaires pour réaliser l’attaque : Aucun.
• Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
• L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.

Composants vulnérables

• ArubaOS en versions 6.5.4.22 et inférieures.
• ArubaOS en versions 8.6.0.17 et inférieures.
• ArubaOS en versions 8.7.1.9 et inférieures.
•  ArubaOS en version 10.3.0.0.
• SD-WAN en versions 8.7.0.0-2.3.0.6 et inférieures.
• ArubaOS en version 8.4.
• ArubaOS en version 8.5.
• ArubaOS en version 8.8.
• ArubaOS en version 8.9.
• SD-WAN en version 8.5.0.0-2.1.
• SD-WAN en version 8.6.0.4-2.2.

• Mettre à jour les produits Aruba concernés vers les versions suivantes :

  • ArubaOS 6.5.4.x aux versions 6.5.4.23 et suivantes.

  • ArubaOS 8.6.x aux versions 8.6.0.18 et suivantes.

  • ArubaOS 8.7.x aux versions 8.7.1.10 et suivantes.

  • ArubaOS 8.10.x aux versions 8.10.0.0 et suivantes.

  • ArubaOS 10.3.x aux versions 10.3.0.1 et suivantes.

  • SD-WAN-2.3.0.x aux versions 8.7.0.0-2.3.0.7 et suivantes.

• Les produits suivants ne disposeront d’aucune mesure corrective :

  • ArubaOS en version 8.4.

  • ArubaOS en version 8.5.

  • ArubaOS en version 8.8.

  • ArubaOS en version 8.9.

  • SD-WAN en version 8.5.0.0-2.1.

  • SD-WAN en version 8.6.0.4-2.2.

• Une mesure de contournement existe : activation de la fonction de sécurité PAPI.

• Plus d’informations disponibles ici.