Vulnérabilité critique dans des produits Aruba
Date de publication :
CVE-2022-37897[Score CVSS v3.1:9.8]
Une faille d’injection de commande dans des produits Aruba permet à un attaquant distant, en envoyant des requêtes spécialement forgées à l’interface de protocole d’accès, d’exécuter du code arbitraire avec des privilèges élevés.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire sur le système
- Élévation de privilèges
Criticité
- Score CVSS v3.1: 9.8
La faille est activement exploitée
- Non.
Un correctif existe
- Oui.
Une mesure de contournement existe
- Oui.
La vulnérabilité exploitée est du type
CWE-94: Improper Control of Generation of Code ('Code Injection')
Détails sur l’exploitation
- Vecteur d’attaque : Réseau.
- Complexité de l’attaque : Faible.
- Privilèges nécessaires pour réaliser l’attaque : Aucun.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.
Composants vulnérables
- ArubaOS en versions 6.5.4.22 et inférieures.
- ArubaOS en versions 8.6.0.17 et inférieures.
- ArubaOS en versions 8.7.1.9 et inférieures.
- ArubaOS en version 10.3.0.0.
- SD-WAN en versions 8.7.0.0-2.3.0.6 et inférieures.
- ArubaOS en version 8.4.
- ArubaOS en version 8.5.
- ArubaOS en version 8.8.
- ArubaOS en version 8.9.
- SD-WAN en version 8.5.0.0-2.1.
- SD-WAN en version 8.6.0.4-2.2.
Solutions ou recommandations
Mettre à jour les produits Aruba concernés vers les versions suivantes :
ArubaOS 6.5.4.x aux versions 6.5.4.23 et suivantes.
ArubaOS 8.6.x aux versions 8.6.0.18 et suivantes.
ArubaOS 8.7.x aux versions 8.7.1.10 et suivantes.
ArubaOS 8.10.x aux versions 8.10.0.0 et suivantes.
ArubaOS 10.3.x aux versions 10.3.0.1 et suivantes.
SD-WAN-2.3.0.x aux versions 8.7.0.0-2.3.0.7 et suivantes.
Les produits suivants ne disposeront d’aucune mesure corrective :
ArubaOS en version 8.4.
ArubaOS en version 8.5.
ArubaOS en version 8.8.
ArubaOS en version 8.9.
SD-WAN en version 8.5.0.0-2.1.
SD-WAN en version 8.6.0.4-2.2.
Une mesure de contournement existe : activation de la fonction de sécurité PAPI.
Plus d’informations disponibles ici.