聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
这些漏洞影响Aruba Mobility Conductor、Aruba Mobility Controllers、 Aruba-managed WLAN Gateways和 SD-WAN Gateways。Aruba Networks 是慧与公司 (HPE) 位于加州的分支机构,专注于提供计算机网络和无限连接解决方案。
这些漏洞可分为两类,一类是命令注入,一类是位于PAPI协议中的栈缓冲区溢出。所有漏洞都是由 Erik de Jong 发现并报告的。
命令注入漏洞是CVE-2023-22747、CVE-2023-22748、CVE-2023-22749和CVE-2023-22750,CVSS评分均为9.8。未认证的远程攻击者可通过UDP 端口8211向PAPI发送特殊构造的数据包,以ArubaOS 上权限用户身份执行任意代码。
栈缓冲区溢出漏洞是CVE-2023-22751和CVE-2023-22752,CVSS评分为9.8。未认证的远程攻击者可通过UDP端口8211向PAPI发送特殊构造的数据包,在ArubaOS 上以权限用户身份运行任意代码。
受影响版本为:
ArubaOS 8.6.0.19 及以下版本
ArubaOS 8.10.0.4 及以下版本
ArubaOS 10.3.1.0 及以下版本
SD-WAN 8.7.0.0-2.3.0.8 及以下版本
用户应升级到如下版本:
ArubaOS 8.10.0.5 及更高版本
ArubaOS 8.11.0.0 及更高版本
ArubaOS 10.3.1.1 及更高版本
SD-WAN 8.7.0.0-2.3.0.9 及更高版本
QNAP推出新的漏洞奖励计划,覆盖应用、云服务和OS,最高赏金2万美元
Aruba 修复EdgeConnect 中的严重RCE和认证绕过漏洞
严重漏洞 TLStorm 2.0 影响大量 Aruba 和 Avaya 网络交换机
https://www.bleepingcomputer.com/news/security/aruba-networks-fixes-six-critical-vulnerabilities-in-arubaos/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~