HPE ha publicado 10 vulnerabilidades: cuatro de severidad crítica y seis medias, que podrían dar lugar a una ejecución de código arbitrario y denegación de servicio (DoS).
Análisis
Las vulnerabilidades de severidad crítica son de tipo desbordamiento de búfer y su explotación podría dar lugar a una
ejecución de código arbitrario como usuario privilegiado en el sistema operativo subyacente.
Se han asignado los identificadores para estas vulnerabilidades:
- CVE -2024-26304: 9.8 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
- CVE-2024-26305: 9.8 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
- CVE-2024-33511: 9.8 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
- CVE-2024-33512: 9.8 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Recursos afectados
HPE Aruba Networking:
- Mobility Conductor (formerly Mobility Master);
- Mobility Controllers;
- WLAN Gateways and SD-WAN Gateways managed by Aruba Central.
Versiones software afectadas:
- ArubaOS 10.5.x.x: 10.5.1.0 y anteriores;
- ArubaOS 10.4.x.x: 10.4.1.0 y anteriores;
- ArubaOS 8.11.x.x: 8.11.2.1 y anteriores;
- ArubaOS 8.10.x.x: 8.10.0.10 y anteriores.
Todas las versiones software ArubaOS ySD-WAN (estas versiones se encuentran sin mantenimiento):
- ArubaOS 10.3.x.x;
- ArubaOS 8.9.x.x;
- ArubaOS 8.8.x.x;
- ArubaOS 8.7.x.x;
- ArubaOS 8.6.x.x;
- ArubaOS 6.5.4.x;
- SD-WAN 8.7.0.0-2.3.0.x;
- SD-WAN 8.6.0.4-2.2.x.x.
Recomendaciones
HPE Aruba Networking ha lanzado parches para ArubaOS que abordan múltiples vulnerabilidades de seguridad.
Referencias