[TLP:CLEAR] HPE Aruba Networking Access Points opravuje 6 zraniteľností
HPE Aruba Networking v produkte Access Points (Instant AOS-8 a AOS-10) opravuje 6 zraniteľností, pričom 2 z nich sú kritické. Zraniteľnosti sú pre Instant AOS opravené vo verziách 8.12.0.3 a 8.10.0.14 a pre AOS v 10.7.0.0 a 10.4.1.5. Informácie k dočasným opravám zraniteľností je možné nájsť na [1].
Neautentizovanému vzdialenému útočníkovi je umožnené spúšťať kód v operačnom systéme postihnutého zariadenia zasielaním špeciálne vytvorených PAPI paketov [1].
Zraniteľnosť sa nachádza v produktoch:
- AOS vo verziách >=10.4 AND <10.4.1.5
- Instant AOS vo verziách (>=8.12 AND <8.12.0.3) OR (>=8.10 AND <8.10.0.14)
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2024-42509 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 5. 11. 2024.
Autentizovanému vzdialenému útočníkovi je umožnené vykonávať príkazy v operačnom systéme postihnutého stroja, čo môže viesť k jeho úplnému ovládnutiu [1].
Zraniteľnosť sa nachádza v produktoch:
- AOS vo verziách >=10.4 AND <10.4.1.5
- Instant AOS vo verziách (>=8.12 AND <8.12.0.3) OR (>=8.10 AND <8.10.0.14)
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2024-47461 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 5. 11. 2024.
Neautentizovanému vzdialenému útočníkovi je umožnené spúšťať kód v operačnom systéme postihnutého zariadenia zasielaním špeciálne vytvorených PAPI paketov [1].
Zraniteľnosť sa nachádza v produktoch:
- AOS vo verziách >=10.4 AND <10.4.1.5
- Instant AOS vo verziách (>=8.12 AND <8.12.0.3) OR (>=8.10 AND <8.10.0.14)
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
Viac informácií:
- CVE-2024-47460 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 5. 11. 2024.
Autentizovanému vzdialenému útočníkovi je umožnené vytvárať ľubovolné súbory, čo môže viesť k spúšťaniu kódu v operačnom systéme postihnutého zariadenia [1].
Zraniteľnosť sa nachádza v produktoch:
- AOS vo verziách >=10.4 AND <10.4.1.5
- Instant AOS vo verziách (>=8.12 AND <8.12.0.3) OR (>=8.10 AND <8.10.0.14)
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2024-47462 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-47463 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-434: Unrestricted Upload of File with Dangerous Type at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 5. 11. 2024.
Autentizovanému vzdialenému útočníkovi je umožnené neoprávnene zobrazovať ľubovolné súbory [1].
Zraniteľnosť sa nachádza v produktoch:
- AOS vo verziách >=10.4 AND <10.4.1.5
- Instant AOS vo verziách (>=8.12 AND <8.12.0.3) OR (>=8.10 AND <8.10.0.14)
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N
Viac informácií:
- CVE-2024-47464 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 5. 11. 2024.