Múltiples vulnerabilidades en AirWave Glass de Aruba

Múltiples vulnerabilidades en productos Juniper

Descripción

Aruba ha publicado 3 vulnerabilidades de severidad crítica y otra de severidad alta, que podrían permitir el acceso a la interfaz de administración web o el compromiso total del sistema operativo del host subyacente al entorno Airwave Glass.

  • Las peticiones manipuladas del lado del servidor (Server-Side Request Forgery (SSRF)) a través de un endpoint final, no autenticado, podrían permitir a un atacante la divulgación de información sensible para omitir la autenticación y obtener acceso de administrador en la interfaz de administración web. Se ha asignado el identificador CVE-2020-24641 para esta vulnerabilidad.
  • Un atacante podría ejecutar comandos arbitrarios en un entorno de contenedores dentro de Airwave Glass y comprometer el sistema operativo del host subyacente, mediante una validación insuficiente de los datos de entrada o una deserialización insegura de Java. Se han asignado los identificadores CVE-2020-24640 y CVE-2020-24639 para estas vulnerabilidades.
  • Múltiples vulnerabilidades de ejecución remota de código en Airwave Glass, a través de la cli. Glassadmin, podrían permitir a un atacante con privilegios de glassadmin ejecutar código arbitrario, como root, en el sistema operativo host subyacente. Se ha asignado el identificador CVE-2020-24638 para la vulnerabilidad.

Recursos afectados

AirWave Glass, versiones 1.3.2 y anteriores.

Solución

Actualizar a la versión 1.3.3 o posterior.

Referencias

ARUBA-PSA-2021-001

Artículos relacionados

Múltiples vulnerabilidades en productos Juniper
Múltiples vulnerabilidades en productos Juniper
Múltiples vulnerabilidades en productos Juniper

Etiqueta Seresco