Inicio / Alerta Temprana / Avisos Seguridad / Múltiples vulnerabilidades de ejecución remota de código en Aruba Mobility Controllers

Múltiples vulnerabilidades de ejecución remota de código en Aruba Mobility Controllers

Fecha de publicación: 
04/09/2019
Importancia: 
4 - Alta
Recursos afectados: 

Aruba Mobility Controllers con las siguientes versiones de firmware:

  • ArubaOS 6.x, anterior a la 6.4.4.21;
  • ArubaOS 6.5.x, anterior a la 6.5.4.13;
  • ArubaOS 8.x, anterior a la 8.2.2.6;
  • ArubaOS 8.3.0.x, anterior a la 8.3.0.7;
  • ArubaOS 8.4.0.x, anterior a la 8.4.0.3.
Descripción: 

Aruba ha publicado vulnerabilidades presentes en algunas versiones que se ejecutan en Aruba Mobility Controllers y que podrían permitir a un atacante ejecutar código arbitrario en el sistema operativo subyacente con todos los privilegios del sistema.

Solución: 

Aplicar las siguientes actualizaciones en función de la versión afectada:

  • ArubaOS 6.4.4.21,
  • ArubaOS 6.5.4.13,
  • ArubaOS 8.2.2.6,
  • ArubaOS 8.3.0.7,
  • ArubaOS 8.4.0.3,
  • ArubaOS 8.5.0.0.
Detalle: 
  • El componente network-listener presenta una vulnerabilidad de ejecución remota de código en algunas versiones de ArubaOS. Un atacante, con capacidad para transferir tráfico IP especialmente diseñado a un controlador de movilidad, aprovechando el protocolo PAPI (UDP 8211), podría causar un fallo en el proceso o ejecutar código arbitrario en el sistema operativo subyacente con todos los privilegios del sistema. Se ha reservado el identificador CVE-2018-7081 para esta vulnerabilidad.
  • Algunos componentes web del software ArubaOS son vulnerables a inyección CRLF y a Cross-Site Scripting (XSS) reflejado. Un atacante podría enviar ciertos parámetros de URL para explotar esta vulnerabilidad. Se ha reservado el identificador CVE-2019-5314 para esta vulnerabilidad.
  • La vulnerabilidad de inyección de comandos presente en la interfaz de gestión web de ArubaOS podría permitir a un atacante autenticado, ejecutar comandos arbitrarios en el sistema operativo subyacente. Un administrador malicioso podría utilizar esta capacidad para instalar puertas traseras o cambiar la configuración del sistema de manera que no quede registro. Esta vulnerabilidad solo afecta a ArubaOS 8.x. Se ha reservado el identificador CVE-2019-5315 para esta vulnerabilidad.

Encuesta valoración