ArubaOS < 8.6.0.21 / 8.10.0.7 / 8.11.1.1 / 10.4.0.2 多個弱點 (ARUBA-PSA-2023-008)
high Nessus Plugin ID 178240
語系:
概要
遠端主機上安裝的應用程式受到多個弱點影響。說明
遠端主機上安裝的 ArubaOS 版本為 8.6.0.21 之前的 8.6 版、8.10.0.7 之前的 8.10 版、8.11.1.1 之前的 8.11 版或 10.4.0.2 之前的 10.4 版。因此,該主機會受到以下多個弱點影響:- Web 型管理介面中的跨網站指令碼弱點。未經驗證的網路相鄰攻擊者可對介面的授權使用者發動儲存型 XSS 攻擊,進而在受害者的瀏覽器中執行任意程式碼 (CVE-2023-35971)
- Web 型管理介面中的命令插入弱點。經驗證的遠端攻擊者可在受影響裝置的基礎作業系統 (OS) 中以特權使用者身分執行任意命令。(CVE-2023-35972)
- ArubaOS 命令行介面中的多個命令插入弱點。經驗證的遠端攻擊者可在受影響裝置的基礎作業系統 (OS) 中以特權使用者身分執行任意命令。(CVE-2023-35973、CVE-2023-35974)
- ArubaOS 命令行介面中的路徑遊走弱點。經驗證的遠端攻擊者可藉此刪除基礎作業系統中的任意檔案。(CVE-2023-25975)
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
升級至廠商公告中提及的 ArubaOS 版本。另請參閱
https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-006.txt
Plugin 詳細資訊
嚴重性: High
ID: 178240
檔案名稱: arubaos-aruba-psa-2023-008.nasl
版本: 1.3
類型: combined
系列: Misc.
已發布: 2023/7/13
已更新: 2023/11/16
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.9
CVSS v2
風險因素: High
基本分數: 8.5
時間分數: 6.3
媒介: CVSS2#AV:N/AC:L/Au:S/C:N/I:C/A:C
CVSS 評分資料來源: CVE-2023-35975
CVSS v3
風險因素: High
基本分數: 8.1
時間分數: 7.1
媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: cpe:/o:arubanetworks:arubaos, cpe:/o:hp:arubaos
必要的 KB 項目: installed_sw/ArubaOS
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2023/7/11
弱點發布日期: 2023/7/11
參考資訊
CVE: CVE-2023-35971, CVE-2023-35972, CVE-2023-35973, CVE-2023-35974, CVE-2023-35975, CVE-2023-35976, CVE-2023-35977, CVE-2023-35978, CVE-2023-35979
IAVA: 2023-A-0334-S