Hackernews 编译,转载请注明出处:
Aruba修复了EdgeConnect Enterprise Orchestrator中的多个严重漏洞,远程攻击者可以利用这些漏洞来破坏易受攻击的主机。
Aruba EdgeConnect Orchestrator是一种集中式SD-WAN管理解决方案,允许企业控制其WAN。
以下是Aruba解决的漏洞:
CVE-2022-37913和CVE-2022-37914 (CVSS v3.1 – 9.8)认证绕过漏洞,存在于EdgeConnect Orchestrator的web管理界面中。黑客可以触发该漏洞来绕过身份验证。
“Aruba EdgeConnect Enterprise Orchestrator基于web的管理界面中的漏洞可能允许未经身份验证的远程攻击者绕过身份验证。成功利用这些漏洞可能会让攻击者获得管理权限,从而导致Aruba EdgeConnect Enterprise Orchetrator主机完全受损。“供应商发布的公告中写道。
该公司还解决了Aruba EdgeConnect Enterprise Orchestrator基于Web的管理界面中未经身份验证的远程代码执行漏洞。该漏洞被追踪为CVE-222-37915,可被利用在底层主机上执行任意命令,从而导致整个系统受损。
该公司发布以下版本来解决这个问题:
- Aruba EdgeConnect Enterprise Orchestrator 9.2.0.40405 及更高版本
- Aruba EdgeConnect Enterprise Orchestrator 9.1.3.40197 及更高版本
- Aruba EdgeConnect Enterprise Orchestrator 9.0.7.40110 及更高版本
- Aruba EdgeConnect Enterprise Orchestrator 8.10.23.40015 及更高版本
Aruba不会发布已达到支持终止(EoS)版本的更新。在撰写本报告时,支持的版本包括:
- Aruba EdgeConnect Enterprise Orchestrator 9.2.x
- Aruba EdgeConnect Enterprise Orchestrator 9.1.x
- Aruba EdgeConnect Enterprise Orchestrator 9.0.x
- Aruba EdgeConnect Enterprise Orchestrator 8.10.x
为了最大限度地减少利用上述漏洞的可能性,供应商建议将CLI和基于Web的管理接口限制在专用的第2层分段/VLAN 和/或由第3层及以上的防火墙策略控制。
在本文发布时,该公司并未发现有利用上述漏洞的野外攻击。
消息来源:securityaffairs,译者:Shirley;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文