Múltiples vulnerabilidades en AirWave Glass de Aruba

Recursos afectados:

AirWave Glass, versiones 1.3.2 y anteriores.

Descripción:

Aruba ha publicado 3 vulnerabilidades de severidad crítica y otra de severidad alta, que podrían permitir el acceso a la interfaz de administración web o el compromiso total del sistema operativo del host subyacente al entorno Airwave Glass.

Solución:

Actualizar a la versión 1.3.3 o posterior.

Detalle:
  • Las peticiones manipuladas del lado del servidor (Server-Side Request Forgery (SSRF)) a través de un endpoint final, no autenticado, podrían permitir a un atacante la divulgación de información sensible para omitir la autenticación y obtener acceso de administrador en la interfaz de administración web. Se ha asignado el identificador CVE-2020-24641 para esta vulnerabilidad.
  • Un atacante podría ejecutar comandos arbitrarios en un entorno de contenedores dentro de Airwave Glass y comprometer el sistema operativo del host subyacente, mediante una validación insuficiente de los datos de entrada  o una deserialización insegura de Java. Se han asignado los identificadores CVE-2020-24640 y CVE-2020-24639 para estas vulnerabilidades.
  • Múltiples vulnerabilidades de ejecución remota de código en Airwave Glass, a través de la cli. Glassadmin, podrían permitir a un atacante con privilegios de glassadmin ejecutar código arbitrario, como root, en el sistema operativo host subyacente. Se ha asignado el identificador CVE-2020-24638 para la vulnerabilidad.
Agregar Comentario
0 Respuesta(s)

Tu Respuesta

Al publicar tu respuesta, confirmas estar de acuerdo con las políticas de privacidad y términos de servicio.