Múltiples vulnerabilidades en Aruba Instant
Aruba Instant, versiones:
- branch 6.4.x: 6.4.4.8-4.2.4.18 y anteriores;
- branch 6.5.x: 6.5.4.18 y anteriores;
- branch 8.3.x: 8.3.0.14 y anteriores;
- branch 8.4.x: 8.4.0.5 y anteriores;
- branch 8.5.x: 8.5.0.11 y anteriores;
- branch 8.6.x: 8.6.0.7 y anteriores;
- branch 8.7.x: 8.7.1.1 y anteriores.
Varios investigadores han notificado 19 vulnerabilidades, 3 de severidad crítica, 8 altas y 8 medias, que afectan a múltiples versiones de Aruba Instant.
Actualizar Aruba Instant a las siguientes versiones:
- branch 6.4.x: 6.4.4.8-4.2.4.19 y posteriores;
- branch 6.5.x: 6.5.4.19 y posteriores;
- branch 8.3.x: 8.3.0.15 y posteriores;
- branch 8.4.x: 8.4.0.6 y posteriores;
- branch 8.5.x: 8.5.0.12 y posteriores;
- branch 8.6.x: 8.6.0.8 y posteriores;
- branch 8.7.x: 8.7.1.2 y posteriores.
Existen múltiples vulnerabilidades de desbordamiento de búfer, mediante el envío de paquetes, especialmente diseñados, destinados al puerto UDP (8211) de PAPI (protocolo de gestión de puntos de acceso de Aruba Networks), que podrían permitir la ejecución remota de código arbitrario como un usuario privilegiado en el sistema operativo subyacente. Se han asignado los identificadores CVE-2019-5319, CVE-2021-25144 y CVE-2021-25149 para estas vulnerabilidades críticas.
El resto de vulnerabilidades altas y medias son de los siguientes tipos:
- ejecución remota de comandos,
- escritura de archivos arbitrarios,
- inyección de comandos,
- denegación de servicio,
- omisión de autenticación,
- XSS reflejado,
- lectura de archivos a través de una condición de carrera,
- creación de directorios arbitrarios,
- lectura de archivos arbitrarios,
- divulgación de información remota.
Para estas vulnerabilidades se han asignado los identificadores: CVE-2019-5317, CVE-2020-24635, CVE-2020-24636, CVE-2021-25143, CVE-2021-25145, CVE-2021-25146, CVE-2021-25148, CVE-2021-25150, CVE-2021-25155, CVE-2021-25156, CVE-2021-25157, CVE-2021-25158, CVE-2021-25159, CVE-2021-25160, CVE-2021-25161 y CVE-2021-25162.