Vulnérabilité critique dans des produits Aruba

Risques

Exécution de code arbitraire sur le système

Élévation de privilèges

Criticité

Score CVSS v3.1: 9.8

La faille est activement exploitée

Non.

Un correctif existe

Oui.

Une mesure de contournement existe

Oui.

La vulnérabilité exploitée est du type

CWE-94: Improper Control of Generation of Code ('Code Injection')

Détails sur l’exploitation

Vecteur d’attaque : Réseau.

Complexité de l’attaque : Faible.

Privilèges nécessaires pour réaliser l’attaque : Aucun.

Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.

L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.

Composants vulnérables

ArubaOS en versions 6.5.4.22 et inférieures.

ArubaOS en versions 8.6.0.17 et inférieures.

ArubaOS en versions 8.7.1.9 et inférieures.

 ArubaOS en version 10.3.0.0.

SD-WAN en versions 8.7.0.0-2.3.0.6 et inférieures.

ArubaOS en version 8.4.

ArubaOS en version 8.5.

ArubaOS en version 8.8.

ArubaOS en version 8.9.

SD-WAN en version 8.5.0.0-2.1.

SD-WAN en version 8.6.0.4-2.2.

• Mettre à jour les produits Aruba concernés vers les versions suivantes :

  • ArubaOS 6.5.4.x aux versions 6.5.4.23 et suivantes.

  • ArubaOS 8.6.x aux versions 8.6.0.18 et suivantes.

  • ArubaOS 8.7.x aux versions 8.7.1.10 et suivantes.

  • ArubaOS 8.10.x aux versions 8.10.0.0 et suivantes.

  • ArubaOS 10.3.x aux versions 10.3.0.1 et suivantes.

  • SD-WAN-2.3.0.x aux versions 8.7.0.0-2.3.0.7 et suivantes.

• Les produits suivants ne disposeront d’aucune mesure corrective :

  • ArubaOS en version 8.4.

  • ArubaOS en version 8.5.

  • ArubaOS en version 8.8.

  • ArubaOS en version 8.9.

  • SD-WAN en version 8.5.0.0-2.1.

  • SD-WAN en version 8.6.0.4-2.2.

• Une mesure de contournement existe : activation de la fonction de sécurité PAPI.

• Plus d’informations disponibles ici.