Múltiples vulnerabilidades en AirWave Glass de Aruba
Fecha de publicación 26/10/2020
Importancia
5 - Crítica
Recursos Afectados
AirWave Glass, versión 1.3.1 y anteriores.
Descripción
Se han publicado múltiples vulnerabilidades en AirWave Glass de Aruba que podrían permitir a un atacante la ejecución remota de código, comprometer totalmente el sistema, escalar privilegios o realizar ataques Server Side Request Forgery.
Solución
Actualizar a Airwave Glass versión 1.3.2 o superior.
Detalle
- La exposición de los servicios de gestión de contenedores de manera no autenticada podrían permitir a un atacante la ejecución remota de código. Se han asignado los identificadores CVE-2020-7127 y CVE-2020-7128 para estas vulnerabilidades.
- Los atacantes con acceso a la interfaz de gestión de la web podrían aprovechar una vulnerabilidad que permite acceder al sistema de gestión del contenedor para lograr un compromiso completo del sistema anfitrión. Se ha asignado el identificador CVE-2020-7124 para esta vulnerabilidad.
- La validación inadecuada del control de acceso podría permitir a un usuario, con privilegios de sólo lectura, la escalada de privilegios al añadir nuevos usuarios o alterar las propiedades de los usuarios con más privilegios. Se ha asignado el identificador CVE-2020-7125 para esta vulnerabilidad.
- Un usuario con privilegios de glassadmin podría ejecutar código arbitrario como root en el sistema operativo del host subyacente a través de cristaladmin cli. Se han asignado los identificadores CVE-2020-7129, CVE-2020-24631 y CVE-2020-24632 para estas vulnerabilidades.
- Airwave Glass expone un endpoint no autenticado en el subsistema Grafana que puede ser utilizado para crear un ataque Server Side Request Forgery. Esto podría permitir el filtrado de datos de los endpoints del sistema interno. Se ha asignado el identificador CVE-2020-7126 para esta vulnerabilidad.
Listado de referencias
Etiquetas