Aruba Networks, anteriormente conocida como Aruba Wireless Networks, es una subsidiaria de redes inalámbricas con sede en Santa Clara, California, de la empresa Hewlett Packard Enterprise. Este boletín de seguridad contiene información sobre 13 vulnerabilidades.

1) Desbordamiento de búfer

CVE-ID: CVE-2022-37890

CWE-ID: CWE-119 – Restricción incorrecta de operaciones dentro de los límites de un búfer de memoria

Descripción

La vulnerabilidad permite que un atacante remoto ejecute código arbitrario en el sistema de destino.

La vulnerabilidad existe debido a un error de límite en la interfaz de administración web. Un atacante remoto puede desencadenar la corrupción de la memoria y ejecutar código arbitrario en el sistema de destino.

La explotación exitosa de esta vulnerabilidad puede resultar en un compromiso completo del sistema vulnerable.

Mitigación

Instalar actualizaciones desde el sitio web del proveedor.

Versiones de software vulnerables

Aruba Instant: 6.4.4.8-4.2.4.0 – 6.4.4.8-4.2.4.20, 6.5.4.0 – 6.5.4.23, 8.6.0.0 – 8.6.0.18, 8.7.1.0 – 8.7.1.9, 8.10.0.0 – 8.10.0.1

ArubaOS: 10.3.0.0 – 10.3.1.0

2) Secuencias de comandos entre sitios

CVE-ID: CVE-2022-37896

CWE-ID: CWE-79 – Neutralización incorrecta de la entrada durante la generación de la página web (“Cross-site Scripting”)

Descripción

La vulnerabilidad revelada permite a un atacante remoto realizar ataques de secuencias de comandos entre sitios (XSS).

La vulnerabilidad existe debido a una desinfección insuficiente de los datos proporcionados por el usuario. Un usuario remoto puede engañar a la víctima para que siga un enlace especialmente diseñado y ejecute código HTML y script arbitrario en el navegador del usuario en el contexto de un sitio web vulnerable.

La explotación exitosa de esta vulnerabilidad puede permitir que un atacante remoto robe información potencialmente confidencial, cambie la apariencia de la página web, realice ataques de phishing y de descarga oculta.

Mitigación

Instalar actualizaciones desde el sitio web del proveedor.

Versiones de software vulnerables

Aruba Instant: 6.4.4.8-4.2.4.0 – 6.4.4.8-4.2.4.20, 6.5.4.0 – 6.5.4.23, 8.6.0.0 – 8.6.0.18, 8.7.1.0 – 8.7.1.9, 8.10.0.0 – 8.10.0.1

ArubaOS: 10.3.0.0 – 10.3.1.0

3) Error de validación de entrada

CVE-ID: CVE-2022-37895

CWE-ID: CWE-20 – Validación de entrada incorrecta

Descripción

La vulnerabilidad permite que un usuario remoto realice un ataque de denegación de servicio (DoS).

La vulnerabilidad existe debido a una validación insuficiente de la entrada proporcionada por el usuario. Un administrador remoto puede pasar una entrada especialmente diseñada a la aplicación y realizar un ataque de denegación de servicio (DoS).

Mitigación

Instalar actualizaciones desde el sitio web del proveedor.

Versiones de software vulnerables

Aruba Instant: 6.4.4.8-4.2.4.0 – 6.4.4.8-4.2.4.20, 6.5.4.0 – 6.5.4.23, 8.6.0.0 – 8.6.0.18, 8.7.1.0 – 8.7.1.9, 8.10.0.0 – 8.10.0.1

ArubaOS: 10.3.0.0 – 10.3.1.0

4) Error de validación de entrada

CVE-ID: CVE-2022-37894

CWE-ID: CWE-20 – Validación de entrada incorrecta

Descripción

La vulnerabilidad permite que un atacante remoto realice un ataque de denegación de servicio (DoS).

La vulnerabilidad existe debido a una validación insuficiente de la entrada proporcionada por el usuario dentro del procesamiento defectuoso de las cadenas SSID. Un atacante remoto en la red local puede pasar una entrada especialmente diseñada a la aplicación y realizar un ataque de denegación de servicio (DoS).

Mitigación

Instalar actualizaciones desde el sitio web del proveedor.

Versiones de software vulnerables

Aruba Instant: 6.4.4.8-4.2.4.0 – 6.4.4.8-4.2.4.20, 6.5.4.0 – 6.5.4.23, 8.6.0.0 – 8.6.0.18, 8.7.1.0 – 8.7.1.9, 8.10.0.0 – 8.10.0.1

ArubaOS: 10.3.0.0 – 10.3.1.0

5) Inyección de comandos del sistema operativo

CVE-ID: CVE-2022-37893

CWE-ID: CWE-78 – Neutralización incorrecta de elementos especiales utilizados en un comando del sistema operativo (‘Inyección de comando del sistema operativo’)

Descripción

La vulnerabilidad permite que un usuario remoto ejecute comandos de shell arbitrarios en el sistema de destino.

La vulnerabilidad existe debido a una validación de entrada incorrecta. Un administrador remoto puede pasar datos especialmente diseñados a la aplicación y ejecutar comandos arbitrarios del sistema operativo en el sistema de destino.

La explotación exitosa de esta vulnerabilidad puede resultar en un compromiso completo del sistema vulnerable.

Mitigación

Instalar actualizaciones desde el sitio web del proveedor.

Versiones de software vulnerables

Aruba Instant: 6.4.4.8-4.2.4.0 – 6.4.4.8-4.2.4.20, 6.5.4.0 – 6.5.4.23, 8.6.0.0 – 8.6.0.18, 8.7.1.0 – 8.7.1.9, 8.10.0.0 – 8.10.0.1

ArubaOS: 10.3.0.0 – 10.3.1.0

6) Scripts entre sitios almacenados

CVE-ID: CVE-2022-37892

CWE-ID: CWE-79 – Neutralización incorrecta de la entrada durante la generación de la página web (“Cross-site Scripting”)

Descripción

La vulnerabilidad revelada permite a un atacante remoto realizar ataques de secuencias de comandos entre sitios (XSS).

La vulnerabilidad existe debido a una desinfección insuficiente de los datos proporcionados por el usuario. Un atacante remoto puede inyectar y ejecutar código HTML y script arbitrario en el navegador del usuario en el contexto de un sitio web vulnerable.

La explotación exitosa de esta vulnerabilidad puede permitir que un atacante remoto robe información potencialmente confidencial, cambie la apariencia de la página web, realice ataques de phishing y de descarga oculta.

Mitigación

Instalar actualizaciones desde el sitio web del proveedor.

Versiones de software vulnerables

Aruba Instant: 6.4.4.8-4.2.4.0 – 6.4.4.8-4.2.4.20, 6.5.4.0 – 6.5.4.23, 8.6.0.0 – 8.6.0.18, 8.7.1.0 – 8.7.1.9, 8.10.0.0 – 8.10.0.1

ArubaOS: 10.3.0.0 – 10.3.1.0

7) Desbordamiento de búfer

CVE-ID: CVE-2022-37891

CWE-ID: CWE-119 – Restricción incorrecta de operaciones dentro de los límites de un búfer de memoria.

Descripción

La vulnerabilidad permite que un atacante remoto ejecute código arbitrario en el sistema de destino.

La vulnerabilidad existe debido a un error de límite en la interfaz de administración web. Un atacante remoto puede desencadenar la corrupción de la memoria y ejecutar código arbitrario en el sistema de destino.

La explotación exitosa de esta vulnerabilidad puede resultar en un compromiso completo del sistema vulnerable.

Mitigación

Instalar actualizaciones desde el sitio web del proveedor.

Versiones de software vulnerables

Aruba Instant: 6.4.4.8-4.2.4.0 – 6.4.4.8-4.2.4.20, 6.5.4.0 – 6.5.4.23, 8.6.0.0 – 8.6.0.18, 8.7.1.0 – 8.7.1.9, 8.10.0.0 – 8.10.0.1

ArubaOS: 10.3.0.0 – 10.3.1.0

8) Desbordamiento de búfer

CVE-ID: CVE-2022-37889

CWE-ID: CWE-119 – Restricción incorrecta de operaciones dentro de los límites de un búfer de memoria

Descripción

La vulnerabilidad permite que un atacante remoto ejecute código arbitrario en el sistema de destino.

La vulnerabilidad existe debido a un error de límite en el protocolo PAPI. Un atacante remoto puede desencadenar la corrupción de la memoria y ejecutar código arbitrario en el sistema de destino.

La explotación exitosa de esta vulnerabilidad puede resultar en un compromiso completo del sistema vulnerable.

Mitigación

Instalar actualizaciones desde el sitio web del proveedor.

Versiones de software vulnerables

Aruba Instant: 6.4.4.8-4.2.4.0 – 6.4.4.8-4.2.4.20, 6.5.4.0 – 6.5.4.23, 8.6.0.0 – 8.6.0.18, 8.7.1.0 – 8.7.1.9, 8.10.0.0 – 8.10.0.1

ArubaOS: 10.3.0.0 – 10.3.1.0

9) Desbordamiento de búfer

CVE-ID: CVE-2022-37888

CWE-ID: CWE-119 – Restricción incorrecta de operaciones dentro de los límites de un búfer de memoria

Descripción

La vulnerabilidad permite que un atacante remoto ejecute código arbitrario en el sistema de destino.

La vulnerabilidad existe debido a un error de límite en el protocolo PAPI. Un atacante remoto puede desencadenar la corrupción de la memoria y ejecutar código arbitrario en el sistema de destino.

La explotación exitosa de esta vulnerabilidad puede resultar en un compromiso completo del sistema vulnerable.

Mitigación

Instalar actualizaciones desde el sitio web del proveedor.

Versiones de software vulnerables

Aruba Instant: 6.4.4.8-4.2.4.0 – 6.4.4.8-4.2.4.20, 6.5.4.0 – 6.5.4.23, 8.6.0.0 – 8.6.0.18, 8.7.1.0 – 8.7.1.9, 8.10.0.0 – 8.10.0.1

ArubaOS: 10.3.0.0 – 10.3.1.0

10) Desbordamiento de búfer

CVE-ID: CVE-2022-37887

CWE-ID: CWE-119 – Restricción incorrecta de operaciones dentro de los límites de un búfer de memoria

Descripción

La vulnerabilidad permite que un atacante remoto ejecute código arbitrario en el sistema de destino.

La vulnerabilidad existe debido a un error de límite en el protocolo PAPI. Un atacante remoto puede desencadenar la corrupción de la memoria y ejecutar código arbitrario en el sistema de destino.

La explotación exitosa de esta vulnerabilidad puede resultar en un compromiso completo del sistema vulnerable.

Mitigación

Instalar actualizaciones desde el sitio web del proveedor.

Versiones de software vulnerables

Aruba Instant: 6.4.4.8-4.2.4.0 – 6.4.4.8-4.2.4.20, 6.5.4.0 – 6.5.4.23, 8.6.0.0 – 8.6.0.18, 8.7.1.0 – 8.7.1.9, 8.10.0.0 – 8.10.0.1

ArubaOS: 10.3.0.0 – 10.3.1.0

11) Desbordamiento de búfer

CVE-ID: CVE-2022-37886

CWE-ID: CWE-119 – Restricción incorrecta de operaciones dentro de los límites de un búfer de memoria

Descripción

La vulnerabilidad permite que un atacante remoto ejecute código arbitrario en el sistema de destino.

La vulnerabilidad existe debido a un error de límite en el protocolo PAPI. Un atacante remoto puede desencadenar la corrupción de la memoria y ejecutar código arbitrario en el sistema de destino.

La explotación exitosa de esta vulnerabilidad puede resultar en un compromiso completo del sistema vulnerable.

Mitigación

Instalar actualizaciones desde el sitio web del proveedor.

Versiones de software vulnerables

Aruba Instant: 6.4.4.8-4.2.4.0 – 6.4.4.8-4.2.4.20, 6.5.4.0 – 6.5.4.23, 8.6.0.0 – 8.6.0.18, 8.7.1.0 – 8.7.1.9, 8.10.0.0 – 8.10.0.1

ArubaOS: 10.3.0.0 – 10.3.1.0

12) Desbordamiento de búfer

CVE-ID: CVE-2022-37885

CWE-ID: CWE-119 – Restricción incorrecta de operaciones dentro de los límites de un búfer de memoria

Descripción

La vulnerabilidad permite que un atacante remoto ejecute código arbitrario en el sistema de destino.

La vulnerabilidad existe debido a un error de límite en el protocolo PAPI. Un atacante remoto puede desencadenar la corrupción de la memoria y ejecutar código arbitrario en el sistema de destino.

La explotación exitosa de esta vulnerabilidad puede resultar en un compromiso completo del sistema vulnerable.

Mitigación

Instalar actualizaciones desde el sitio web del proveedor.

Versiones de software vulnerables

Aruba Instant: 6.4.4.8-4.2.4.0 – 6.4.4.8-4.2.4.20, 6.5.4.0 – 6.5.4.23, 8.6.0.0 – 8.6.0.18, 8.7.1.0 – 8.7.1.9, 8.10.0.0 – 8.10.0.1

ArubaOS: 10.3.0.0 – 10.3.1.0

13) Agotamiento de recursos

CVE-ID: CVE-2002-20001

CWE-ID: CWE-400 – Consumo de recursos no controlado (“agotamiento de recursos”)

Descripción

La vulnerabilidad permite que un atacante remoto realice un ataque de denegación de servicio (DoS).

La vulnerabilidad existe debido a que la aplicación no controla adecuadamente el consumo de recursos internos en el protocolo de acuerdo de clave Diffie-Hellman. Un atacante remoto puede provocar el agotamiento de los recursos y realizar un ataque de denegación de servicio (DoS).

Mitigación

Instalar actualizaciones desde el sitio web del proveedor.

Versiones de software vulnerables

Aruba Instant: 6.4.4.8-4.2.4.0 – 6.4.4.8-4.2.4.20, 6.5.4.0 – 6.5.4.23, 8.6.0.0 – 8.6.0.18, 8.7.1.0 – 8.7.1.9, 8.10.0.0 – 8.10.0.1

ArubaOS: 10.3.0.0 – 10.3.1.0