Múltiples vulnerabilidades en ClearPass Policy Manager de HPE Aruba

Fecha de publicación 13/10/2021
Importancia
5 - Crítica
Recursos Afectados
  • ClearPass Policy Manager, versiones 6.10.x anteriores a 6.10.2;
  • ClearPass Policy Manager, versiones 6.9.x anteriores a 6.9.7-HF1;
  • ClearPass Policy Manager, versiones 6.8.x anteriores a 6.8.9-HF1;
  • ClearPass Policy Manager, versiones 6.7.x y anteriores (versiones EOL).
Descripción

Varios investigadores han reportado 18 vulnerabilidades en ClearPass Policy Manager, siendo 3 de severidad crítica, 9 altas y 6 medias. Su explotación podría permitir: escalada de privilegios local, ejecución remota de comandos arbitrarios, omisión de autenticación, divulgación de información confidencial, inyección SQL y acceso a directorios restringidos (directory traversal).

Solución

Actualizar a:

  • ClearPass Policy Manager 6.10.x: versión 6.10.2 y superiores;
  • ClearPass Policy Manager 6.9.x: versión 6.9.7-HF1 y superiores;
  • ClearPass Policy Manager 6.8.x: versión 6.8.9-HF1 y superiores.
Detalle
  • Tres vulnerabilidades críticas en la interfaz web de gestión de ClearPass Policy Manager podrían permitir a un atacante remoto no autenticado acceder a un endpoint de cifrado (CVE-2021-37736) o a información confidencial (CVE-2021-40996 y CVE-2021-40997) en la plataforma. La explotación exitosa permitiría al atacante eludir la autenticación del sistema y comprometer por completo el clúster.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2021-37737, CVE-2021-37738, CVE-2021-37739, CVE-2021-40986, CVE-2021-40987, CVE-2021-40988, CVE-2021-40989, CVE-2021-40990, CVE-2021-40991, CVE-2021-40992, CVE-2021-40993, CVE-2021-40994, CVE-2021-40995, CVE-2021-40998 y CVE-2021-40999.

Encuesta valoración

Listado de referencias
HPESBNW04203 rev.1 - HPE Aruba ClearPass Policy Manager, Multiple Vulnerabilities
ClearPass Policy Manager Multiple Vulnerabilities
Etiquetas