Aruba Networks patcher 13 sårbarheder

Risiko for udnyttelse til fjernafvikling af kode.

Aruba Networks har udstedt advisories til deres EdgeConnect Enterprise-produkt om sårbarheder, der kan udnyttes til fjernafvikling af kode. Det skriver Itnews.

Otte af sårbarhederne er vurderet til at være ’high’ i deres scoring. Officielle CVSS-numre foreligger dog ikke endnu.

Patchede versioner af softwaren inkluderer ECOS 9.2.2.0 og nyere, 9.1.4.0 og nyere, ECOS 9.0.8.0 og nyere, og ECOS 8.3.8.0 og nyere.

Udnyttelse af de mange sårbarheder kan medføre forskellige forhold. Udnyttelse af CVE-2022-37919, som er en API-sårbarhed, kan udnyttes af en uautoriseret angriber via den webbaserede administrationsgrænseflade til at skabe en denial-of-service, som forhindrer apparatet i at reagere korrekt på API-anmodninger. Syv andre sårbarheder – CVE-2022-37920, CVE-2022-37921, CVE-2022-37922, CVE-2022-37923, CVE-2022-37924, CVE-2022-43541 og CVE-4522-fjernangreb – muliggør iværksættelse af fjernangreb og afvikling af vilkårlige kommandoer på kommandolinjegrænsefladen. Hvis en angriber har login-legitimationsoplysninger til målsystemet, kan det medføre ’komplet kompromittering af systemet', skriver Itnews..

Der er også tre sårbarheder, der er vurderet til medium: CVE-2022-37925 og CVE-2022-37926 (som påvirker webadministrationsgrænsefladen); og CVE-2022-43518, en stigennemløbsfejl.

Aruba oplyser, at man ikke er bekendt med nogen udnyttelseskode rettet mod nogen af ​​disse sårbarheder.

Links:

https://www.itnews.com.au/news/aruba-networks-patches-13-edgeconnect-vulnerabilities-588180

Keywords: