Albisteak

Larritasun handiko kalteberatasunak ArubaOS

Argitalpen-data: 

HPE Aruba Networking sarearen kudeaketa-zerbitzuetan kalteberatasun larriak identifikatu ditu, eta horiek erasotzaile autentifikatu batek ustia ditzake. Komandoak injektatzeko kalteberatasun batek komando arbitrarioak exekutatzea ahalbidetzen du komando-lerroaren interfazean, oinarrizko sistema eragilean pribilegio altuekin. Gainera, parametroak injektatzeko kalteberatasun batek, AOS-8 eta AOS-10 sistema eragileen web bidezko kudeaketa-interfazean, erabiltzaile autentifikatu bati sistemako fitxategi arbitrarioak gainidaztea ahalbidetu diezaioke. Kalteberatasun hauen ustiapenak sistemaren konpromiso osoa ekar dezake, konfigurazioa aldatzea, erabilgarritasun-galera eta datuen osotasuna eta konfidentzialtasuna arriskuan jartzen duten beste arrisku esanguratsu batzuk. Segurtasun-eguneratzeak aplikatzea eta arintze-praktika onenak jarraitzea gomendatzen da kaltetutako aktiboak babesteko.

Eragindako baliabideak

  • HPE Aruba Networking Mobility Conductor
  • HPE Aruba Networking Mobility Controllers
  • WLAN Gateways Managed by HPE Aruba Networking Central
  • SD-WAN Gateways Managed by HPE Aruba Networking Central
  • AOS-10.4.x.x: 10.4.1.4 eta beherago
  • AOS-8.12.x.x: 8.12.0.2 eta beherago
  • AOS-8.10.x.x: 8.10.0.14 eta beherago
  • AOS-10.6.x.x: guztiak
  • AOS-10.5.x.x: guztiak
  • AOS-10.3.x.x: guztiak
  • AOS-8.11.x.x: guztiak
  • AOS-8.9.x.x: guztiak
  • AOS-8.8.x.x: guztiak
  • AOS-8.7.x.x: guztiak
  • AOS-8.6.x.x: guztiak
  • AOS-6.5.4.x: guztiak
  • SD-WAN 8.7.0.0-2.3.0.x: guztiak
  • SD-WAN 8.6.0.4-2.2.x.x: guztiak

Analisi teknikoa

  • CVE-2025-23052: Sare kudeaketa zerbitzu baten komandoen injekzio kalteberatasun autentikatua komandoen lerro interfazean. Kalteberatasun hau baliatzea arrakastatsua bada, eraso egile batek komando arbitrarioak exekutatzea ahalbidetu diezaioke erabiltzaile privilegiatu gisa sistema eragile azpian.
  • CWE -
  • CVSS: 7.2
  • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
  • Kalteberatasuna: Ez da detektatu
  • CVE-2025-23051: AOS-8 eta AOS-10 sistema eragileen web oinarritutako kudeaketa interfazean parametroen injekzio kalteberatasun autentikatua aurkitzen da. Kalteberatasun hau arrakastaz baliatzea erabiltzaile autentikatu bati sistema fitxategi arbitrarioak gainditzeko aukera eman diezaioke.
  • CWE -
  • CVSS: 7.2
  • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
  • Kalteberatasuna: Ez da detektatu

Arintzea / Konponbidea

HPE Aruba Networking-ek gomendatzen du Mobility Controllers, Controllers eta Gateways ArubaOS bertsioetara eguneratzea deskribatutako kalteberatasunak konpontzeko. Konpondu diren bertsioak hauek dira: AOS-10.7.x.x (10.7.0.0 eta gorago), AOS-10.4.x.x (10.4.1.5 eta gorago), AOS-8.12.x.x (8.12.0.3 eta gorago) eta AOS-8.10.x.x (8.10.0.15 eta gorago). Eguneratzeak HPE Networking Support Portaletik jaitsi daitezke: networkingsupport.hpe.com/downloads.

Erreferentzia gehigarriak