Aruba Networks исправляет ошибки ClearPass

Компания Aruba Networks представила набор исправлений, закрывающих восемь уязвимостей в программном обеспечении ClearPass Policy Manager.

Программное обеспечение обеспечивает унифицированный контроль доступа к сети в беспроводных, проводных и VPN-сетях.

Возглавляет список ошибка, обнаруженная пентестером из Новой Зеландии. Дэниел Дженсен.

CVE-2023-25589 (оценка CVSS 9,8) — это ошибка в веб-интерфейсе управления диспетчера политик ClearPass.

По словам Арубы, злоумышленники, не прошедшие проверку подлинности, могут достичь «полной компрометации кластера», создав произвольных пользователей на платформе.

Есть также четыре ошибки с высокой степенью серьезности.

Агент OnGuard Linux имеет локальную ошибку повышения привилегий с рейтингом 7.8, CVE-2023-25590.

Успешный злоумышленник на экземпляре Linux может выполнить произвольный код с привилегиями root на экземпляре Linux.

Люк Янг сообщил об уязвимости через программу вознаграждений компании Bugcrowd.

В соответствии с CVE-2023-25591 злоумышленник, который может пройти аутентификацию с низкими привилегиями, может воспользоваться ошибкой в ​​веб-интерфейсе диспетчера политик, потенциально получая информацию для получения дополнительных привилегий.

Эта ошибка также была приписана Люку Янгу.

Две отраженные ошибки межсайтового скриптинга, CVE-2023-25592 и CVE-2023-25593, позволяют злоумышленнику выполнять произвольный код скрипта в браузере жертвы.

Остальные три уязвимости, исправленные сегодня, имеют средний уровень серьезности.

Затрагиваемые версии программного обеспечения: ClearPass Policy Manager 6.11.1 и ниже, 6.10.8 и более ранние, а также 6.913 и ниже, а также доступны фиксированные версии.

Полное консультирование здесь.