Aruba Networks, ClearPass Policy Manager yazılımındaki sekiz güvenlik açığını kapsayan bir yama koleksiyonunu açıkladı.
Yazılım, kablosuz, kablolu ve VPN ağlarında birleşik ağ erişimi uygulaması sağlar.
Listenin başında Yeni Zelandalı pentester tarafından bulunan bir hata var. daniel jensen.
CVE-2023-25589 (CVSS puanı 9.8), ClearPass ilke yöneticisinin web tabanlı yönetim arayüzündeki bir hatadır.
Aruba, kimliği doğrulanmamış saldırganların platformda rastgele kullanıcılar oluşturarak “toplam küme uzlaşması” elde edebileceğini söyledi.
Ayrıca, yüksek önem derecesine sahip dört hata vardır.
OnGuard Linux aracısı, 7.8, CVE-2023-25590 olarak derecelendirilen yerel bir ayrıcalık yükseltme hatasına sahiptir.
Bir Linux örneğindeki başarılı bir saldırgan, Linux örneğinde kök ayrıcalığına sahip rasgele kod yürütebilir.
Luke Young, güvenlik açığını şirketin Bugcrowd ödül programı aracılığıyla bildirdi.
CVE-2023-25591 kapsamında, düşük ayrıcalıklarla kimlik doğrulaması yapabilen bir saldırgan, ilke yöneticisinin web tabanlı arayüzündeki bir hatadan yararlanabilir ve potansiyel olarak daha fazla ayrıcalık elde etmek için bilgi alabilir.
Bu hata aynı zamanda Luke Young’a atfedildi.
İki yansıyan siteler arası komut dosyası çalıştırma hatası, CVE-2023-25592 ve CVE-2023-25593, bir saldırganın kurbanın tarayıcısında rasgele komut dosyası kodu yürütmesine olanak tanır.
Bugün yamalanan diğer üç güvenlik açığı orta önem derecesine sahip.
Etkilenen yazılım sürümleri ClearPass Policy Manager 6.11.1 ve altı, 6.10.8 ve blow ve 6.913 ve altıdır ve sabit sürümler mevcuttur.
Danışmanlığın tamamı burada.