Компания Aruba Networks представила набор исправлений, закрывающих восемь уязвимостей в программном обеспечении ClearPass Policy Manager.
Программное обеспечение обеспечивает унифицированный контроль доступа к сети в беспроводных, проводных и VPN-сетях.
Возглавляет список ошибка, обнаруженная пентестером из Новой Зеландии. Дэниел Дженсен.
CVE-2023-25589 (оценка CVSS 9,8) — это ошибка в веб-интерфейсе управления диспетчера политик ClearPass.
По словам Арубы, злоумышленники, не прошедшие проверку подлинности, могут достичь «полной компрометации кластера», создав произвольных пользователей на платформе.
Есть также четыре ошибки с высокой степенью серьезности.
Агент OnGuard Linux имеет локальную ошибку повышения привилегий с рейтингом 7.8, CVE-2023-25590.
Успешный злоумышленник на экземпляре Linux может выполнить произвольный код с привилегиями root на экземпляре Linux.
Люк Янг сообщил об уязвимости через программу вознаграждений компании Bugcrowd.
В соответствии с CVE-2023-25591 злоумышленник, который может пройти аутентификацию с низкими привилегиями, может воспользоваться ошибкой в веб-интерфейсе диспетчера политик, потенциально получая информацию для получения дополнительных привилегий.
Эта ошибка также была приписана Люку Янгу.
Две отраженные ошибки межсайтового скриптинга, CVE-2023-25592 и CVE-2023-25593, позволяют злоумышленнику выполнять произвольный код скрипта в браузере жертвы.
Остальные три уязвимости, исправленные сегодня, имеют средний уровень серьезности.
Затрагиваемые версии программного обеспечения: ClearPass Policy Manager 6.11.1 и ниже, 6.10.8 и более ранние, а также 6.913 и ниже, а также доступны фиксированные версии.
Полное консультирование здесь.
Читать полную новость на сайте