Fecha de publicación: 15/03/2023
Importancia:
Crítica
Recursos afectados:
- ClearPass Policy Manager 6.11.x: 6.11.1 y anteriores.
- ClearPass Policy Manager 6.10.x: 6.10.8 y anteriores.
- ClearPass Policy Manager 6.9.x: 6.9.13 y anteriores.
Descripción:
Aruba ha publicado actualizaciones para solucionar 7 vulnerabilidades de seguridad (una de ellas crítica) que podrían provocar divulgación de información confidencial, escalada de privilegios, omisión de autenticación, Cross-Site Scripting (XSS), divulgación de información confidencial y obtener acceso no autorizado.
Solución:
Versiones con las correcciones para resolver todos los problemas:
- Administrador de políticas ClearPass 6.11.x
- Administrador de políticas ClearPass 6.10.x
- Administrador de políticas ClearPass 6.9.x
Detalle:
La vulnerabilidad crítica podría permitir la creación de usuarios arbitrarios no autenticados, lo que conduce a un compromiso completo del sistema (CVE-2023-25589).
La explotación del resto de vulnerabilidades implicaría:
- Aumento de privilegios locales en ClearPass OnGuard Linux Agent (CVE-2023-25590);
- divulgación de información autenticada en la interfaz de administración basada en la web de ClearPass Policy Manager (CVE-2023-25591):
- vulnerabilidades de secuencias de comandos en sitios cruzados (XSS) reflejadas en la interfaz de administración basada en web de ClearPass Policy Manager (CVE-2023-25592, CVE-2023-25593);
- omisión de autorización que conduce a una escalada de privilegios en la interfaz de administración basada en web de ClearPass Policy Manager (CVE-2023-25594);
- divulgación de información confidencial en ClearPass OnGuard Ubuntu Agent (CVE-2023-25595);
- divulgación de información confidencial autenticada en ClearPass Policy Manager (CVE-2023-25596).
Etiquetas:
Actualización, HP, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.