Fecha de publicación: 13/10/2021
Importancia:
Crítica
Recursos afectados:
- ClearPass Policy Manager, versiones 6.10.x anteriores a 6.10.2;
- ClearPass Policy Manager, versiones 6.9.x anteriores a 6.9.7-HF1;
- ClearPass Policy Manager, versiones 6.8.x anteriores a 6.8.9-HF1;
- ClearPass Policy Manager, versiones 6.7.x y anteriores (versiones EOL).
Descripción:
Varios investigadores han reportado 18 vulnerabilidades en ClearPass Policy Manager, siendo 3 de severidad crítica, 9 altas y 6 medias. Su explotación podría permitir: escalada de privilegios local, ejecución remota de comandos arbitrarios, omisión de autenticación, divulgación de información confidencial, inyección SQL y acceso a directorios restringidos (directory traversal).
Solución:
Actualizar a:
- ClearPass Policy Manager 6.10.x: versión 6.10.2 y superiores;
- ClearPass Policy Manager 6.9.x: versión 6.9.7-HF1 y superiores;
- ClearPass Policy Manager 6.8.x: versión 6.8.9-HF1 y superiores.
Detalle:
- Tres vulnerabilidades críticas en la interfaz web de gestión de ClearPass Policy Manager podrían permitir a un atacante remoto no autenticado acceder a un endpoint de cifrado (CVE-2021-37736) o a información confidencial (CVE-2021-40996 y CVE-2021-40997) en la plataforma. La explotación exitosa permitiría al atacante eludir la autenticación del sistema y comprometer por completo el clúster.
Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2021-37737, CVE-2021-37738, CVE-2021-37739, CVE-2021-40986, CVE-2021-40987, CVE-2021-40988, CVE-2021-40989, CVE-2021-40990, CVE-2021-40991, CVE-2021-40992, CVE-2021-40993, CVE-2021-40994, CVE-2021-40995, CVE-2021-40998 y CVE-2021-40999.
Etiquetas:
Actualización, Comunicaciones, HP, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.