Af Eskil Sørensen, 08/11/24
Der er fundet to sårbarheder i Aruba Networking Access Points som gør det muligt for en angriber at udføre uautoriseret ”command line injection”.
Det skriver Bleeping Computer.
Det har fået HPE Hewlett Packard Enterprise til at udsende opdateringer til AOS-8 og AOS-10 software, hvilket adresserer de to sårbarheder.
Sårbarhederne har id’erne CVE-2024-42509 og CVE-2024-47460 med CVSS-score på hhv. 9,8 og 9,0.
De berørte systemer er
- AOS-10.4.x.x: 10.4.1.4 og derunder
- Instant AOS-8.12.x.x: 8.12.0.2 og derunder
- Instant AOS-8.10.x.x: 8.10.0.13 og derunder
Der er endnu ikke rapporteret om aktiv udnyttelse.
Command line injection i den underliggende CLI-tjeneste kan føre til uautoriseret fjernudførelse af kode (RCE). Det kan ske, hvis en aktør fremsender specielt sammensatte pakker, der er bestemt til PAPI (Arubas Access Point Management protocol) UDP port 8211.
Udnyttes sårbarhederne, kan det medføre, at der kan afvikles vilkårlig kode som en privilegeret bruger på det underliggende operativsystem.
Udover de nævnte er der også fundet yderligere fire sårbarheder med en CVSS-score på mellem 6,8 og 7,2
Det anbefales at opdatere berørte systemer.
Links: