Múltiples vulnerabilidades en productos HPE Aruba
Access Points de Aruba ejecutando Instant AOS-8 y AOS-10, versiones de software:
- AOS-10.6.x.x: 10.6.0.2 y anteriores;
- AOS-10.4.x.x: 10.4.1.3 y anteriores;
- Instant AOS-8.12.x.x: 8.12.0.1 y anteriores;
- Instant AOS-8.10.x.x: 8.10.0.13 y anteriores.
Además, todas las versiones de los siguientes productos que se encuentran en fase EoSL (End of Support Life):
- AOS-10.5.x.x;
- AOS-10.3.x.x;
- Instant AOS-8.11.x.x;
- Instant AOS-8.9.x.x;
- Instant AOS-8.8.x.x;
- Instant AOS-8.7.x.x;
- Instant AOS-8.6.x.x;
- Instant AOS-8.5.x.x;
- Instant AOS-8.4.x.x;
- Instant AOS-6.5.x.x;
- Instant AOS-6.4.x.x.
HPE Product Security Response Team ha reportado 3 vulnerabilidades de severidad crítica que afectan a dispositivos Access Points de Aruba, cuya explotación podría permitir a un atacante remoto realizar una ejecución de código arbitrario.
Actualizar los Access Points de Aruba a las siguientes versiones o superiores:
- AOS-10.7.x.x: 10.7.0.0;
- AOS-10.6.x.x: 10.6.0.3;
- AOS-10.4.x.x: 10.4.1.4;
- Instant AOS-8.12.x.x: 8.12.0.2;
- Instant AOS-8.10.x.x: 8.10.0.14.
Las 3 vulnerabilidades identificadas son de tipo inyección de comandos en el servicio CLI subyacente y podrían permitir la ejecución remota de código arbitrario no autenticado, mediante el envío de paquetes especialmente diseñados al puerto UDP (8211) de PAPI (protocolo de gestión de puntos de acceso de Aruba), por parte de un usuario con privilegios.
Se han asignado los identificadores CVE-2024-42505, CVE-2024-42506 y CVE-2024-42507 para estas vulnerabilidades.