Descripción
Se han publicado múltiples vulnerabilidades en AirWave Glass de Aruba que podrían permitir a un atacante la ejecución remota de código, comprometer totalmente el sistema, escalar privilegios o realizar ataques Server Side Request Forgery.
Los avisos de seguridad se refieren a:
- CVE-2020-7127 y CVE-2020-7128: La exposición de los servicios de gestión de contenedores de manera no autenticada podrían permitir a un atacante la ejecución remota de código.
- CVE-2020-7124: Los atacantes con acceso a la interfaz de gestión de la web podrían aprovechar una vulnerabilidad que permite acceder al sistema de gestión del contenedor para lograr un compromiso completo del sistema anfitrión.
- CVE-2020-7125: La validación inadecuada del control de acceso podría permitir a un usuario, con privilegios de sólo lectura, la escalada de privilegios al añadir nuevos usuarios o alterar las propiedades de los usuarios con más privilegios.
- CVE-2020-7129, CVE-2020-24631 y CVE-2020-24632: Un usuario con privilegios de glassadmin podría ejecutar código arbitrario como root en el sistema operativo del host subyacente a través de cristaladmin cli.
- CVE-2020-7126: Airwave Glass expone un endpoint no autenticado en el subsistema Grafana que puede ser utilizado para crear un ataque Server Side Request Forgery. Esto podría permitir el filtrado de datos de los endpoints del sistema interno.
Recursos afectados
- AirWave Glass, versión 1.3.1 y anteriores.
Solución
- Actualizar a Airwave Glass versión 1.3.2 o superior.
