Múltiples vulnerabilidades en productos ClearPass Policy Manager de Aruba

Fecha de publicación: 15/03/2023

Importancia:
Crítica

Recursos afectados:

• ClearPass Policy Manager 6.11.x: 6.11.1 y anteriores.
• ClearPass Policy Manager 6.10.x: 6.10.8 y anteriores.
• ClearPass Policy Manager 6.9.x: 6.9.13 y anteriores.

Descripción:

Aruba ha publicado actualizaciones para solucionar 7 vulnerabilidades de seguridad (una de ellas crítica) que podrían provocar divulgación de información confidencial, escalada de privilegios, omisión de autenticación, Cross-Site Scripting (XSS), divulgación de información confidencial y obtener acceso no autorizado.

Solución:

Versiones con las correcciones para resolver todos los problemas:

• Administrador de políticas ClearPass 6.11.x
• Administrador de políticas ClearPass 6.10.x
• Administrador de políticas ClearPass 6.9.x

Detalle:

La vulnerabilidad crítica podría permitir la creación de usuarios arbitrarios no autenticados, lo que conduce a un compromiso completo del sistema (CVE-2023-25589).

La explotación del resto de vulnerabilidades implicaría:

• Aumento de privilegios locales en ClearPass OnGuard Linux Agent (CVE-2023-25590); 
• divulgación de información autenticada en la interfaz de administración basada en la web de ClearPass Policy Manager (CVE-2023-25591):
• vulnerabilidades de secuencias de comandos en sitios cruzados (XSS) reflejadas en la interfaz de administración basada en web de ClearPass Policy Manager (CVE-2023-25592, CVE-2023-25593);
• omisión de autorización que conduce a una escalada de privilegios en la interfaz de administración basada en web de ClearPass Policy Manager (CVE-2023-25594);
• divulgación de información confidencial en ClearPass OnGuard Ubuntu Agent (CVE-2023-25595);
• divulgación de información confidencial autenticada en ClearPass Policy Manager (CVE-2023-25596).

Etiquetas:
Actualización, HP, Vulnerabilidad