Aruba Networks, yazılımının geçen yılın Apache Struts 2 güvenlik açığını devralmış olabileceği satıcılar listesine katıldı.
Struts 2 hatası CVE-2023-50164, ilk olarak Aralık ayında ortaya çıktı ve bir saldırganın uzaktan kod yürütmeyi gerçekleştirmek için dosya yükleme parametrelerini değiştirmesine olanak tanıyor.
Kavram kanıt kodu, hatanın açıklanmasından sonraki birkaç gün içinde yayınlandı.
Aruba bir danışma belgesinde “bu güvenlik açığının [its] ClearPass Politika Yöneticisi [product] henüz onaylanmadı ancak Apache Struts sürümü, azaltım amacıyla yükseltildi.”
Cisco, Aralık ayında açıklandığında bu güvenlik açığını düzeltti, Dell ise bu ayın başlarında hatayı düzeltti.
Yama, Aruba’nın toplam 10 CVE’yi kapsayan derlemesinin bir parçası; bunlardan beşi CVSS puanı 7,2 (yüksek şiddet) taşıyor.
CVE-2024-26294, CVE-2024-26295, CVE-2024-26296, CVE-2024-26297 ve CVE-2024-26298’in tümü ClearPass Policy Manager web tabanlı yönetim arayüzündeki güvenlik açıklarıdır.
Beşi de uzak, kimliği doğrulanmış kullanıcıların temel işletim sisteminde kök olarak isteğe bağlı komutlar çalıştırmasına olanak tanır.
Orta dereceli dört güvenlik açığı daha var: CVE-2024-26299, CVE-2024-26300, CVE-2024-26301 ve CVE-2024-26302.
Etkilenen sürümler ClearPass Policy Manager 6.12.x, 6.11.x, 6.10.x ve 6.9.x yazılım dallarında bulunmaktadır.