Risque(s)
- Exécution de code arbitraire à distance
- Contournement de la politique de sécurité
- Atteinte à la confidentialité des données
- Injection de code indirecte à distance (XSS)
Systèmes affectés
- Orchestrator versions antérieures à 9.3.1
Les versions 9.2.6 et 9.1.8 corrigent les vulnérabilités les plus importantes mentionnées dans cet avis.
Résumé
De multiples vulnérabilités ont été découvertes dans Aruba EdgeConnect SD-WAN Orchestrator. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un contournement de la politique de sécurité et une atteinte à la confidentialité des données.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Aruba ARUBA-PSA-2023-012 du 22 août 2023
https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-012.txt - Référence CVE CVE-2023-37421
https://www.cve.org/CVERecord?id=CVE-2023-37421 - Référence CVE CVE-2023-37422
https://www.cve.org/CVERecord?id=CVE-2023-37422 - Référence CVE CVE-2023-37423
https://www.cve.org/CVERecord?id=CVE-2023-37423 - Référence CVE CVE-2023-37424
https://www.cve.org/CVERecord?id=CVE-2023-37424 - Référence CVE CVE-2023-37425
https://www.cve.org/CVERecord?id=CVE-2023-37425 - Référence CVE CVE-2023-37426
https://www.cve.org/CVERecord?id=CVE-2023-37426 - Référence CVE CVE-2023-37427
https://www.cve.org/CVERecord?id=CVE-2023-37427 - Référence CVE CVE-2023-37428
https://www.cve.org/CVERecord?id=CVE-2023-37428 - Référence CVE CVE-2023-37429
https://www.cve.org/CVERecord?id=CVE-2023-37429 - Référence CVE CVE-2023-37430
https://www.cve.org/CVERecord?id=CVE-2023-37430 - Référence CVE CVE-2023-37431
https://www.cve.org/CVERecord?id=CVE-2023-37431 - Référence CVE CVE-2023-37432
https://www.cve.org/CVERecord?id=CVE-2023-37432 - Référence CVE CVE-2023-37433
https://www.cve.org/CVERecord?id=CVE-2023-37433 - Référence CVE CVE-2023-37434
https://www.cve.org/CVERecord?id=CVE-2023-37434 - Référence CVE CVE-2023-37435
https://www.cve.org/CVERecord?id=CVE-2023-37435 - Référence CVE CVE-2023-37436
https://www.cve.org/CVERecord?id=CVE-2023-37436 - Référence CVE CVE-2023-37437
https://www.cve.org/CVERecord?id=CVE-2023-37437 - Référence CVE CVE-2023-37438
https://www.cve.org/CVERecord?id=CVE-2023-37438 - Référence CVE CVE-2023-37439
https://www.cve.org/CVERecord?id=CVE-2023-37439 - Référence CVE CVE-2023-37440
https://www.cve.org/CVERecord?id=CVE-2023-37440