CRITICAL🇬🇧 English

CVE-2024-42393

RCE w Soft AP Daemon Service — ArubaOS i InstantOS

CVSS 9.8v3.1pub. 2024-08-06upd. 2024-08-12

Krytyczna podatność w usłudze Soft AP Daemon Service w produktach ArubaOS i HP InstantOS umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnego kodu. Skuteczne wykorzystanie prowadzi do całkowitego przejęcia kontroli nad systemem operacyjnym urządzenia.

Pokaż oryginał (EN)

There are vulnerabilities in the Soft AP Daemon Service which could allow a threat actor to execute an unauthenticated RCE attack. Successful exploitation could allow an attacker to execute arbitrary commands on the underlying operating system leading to complete system compromise.

🤖 Analiza AI
Jak działa

Podatność wynika z błędów typu out-of-bounds write (CWE-787) oraz nieprawidłowej neutralizacji elementów sterujących w kodzie (CWE-94) w obrębie usługi Soft AP Daemon Service. Atakujący może wysłać specjalnie spreparowane żądanie sieciowe bez konieczności uwierzytelniania, co pozwala na wstrzyknięcie i wykonanie dowolnych poleceń na poziomie systemu operacyjnego. Wektor ataku jest sieciowy, nie wymaga żadnych uprawnień ani interakcji ze strony użytkownika.

Skutki

Atakujący może wykonać dowolne polecenia na systemie operacyjnym urządzenia, co prowadzi do całkowitego przejęcia kontroli — utraty poufności, integralności oraz dostępności systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje o wersjach zawierających poprawki dostępne są pod adresem: https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbnw04678en_us&docLocale=en_US

Kogo dotyczy

Produkty ArubaOS oraz HP InstantOS — dokładne wersje wskazane w referencjach producenta (HPE Security Bulletin hpesbnw04678en_us)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Arubanetworks Arubaos

    OS
    Arubanetworks
    10.3.0.0 – 10.4.1.4 (bez)10.5.0.0 – 10.6.0.1 (bez)
  • HP Instantos

    OS
    Hp
    6.4.0.0 – 8.10.0.13 (bez)8.12.0.0 – 8.12.0.2 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-42395CRITICAL9.8PL ✓ten sam produkt

RCE bez uwierzytelnienia w AP Certificate Management Service (ArubaOS/InstantOS)

CVE-2024-42394CRITICAL9.8PL ✓ten sam produkt

RCE w Soft AP Daemon Service — ArubaOS i InstantOS (KRYTYCZNY)

CVE-2024-31469CRITICAL9.8PL ✓ten sam produkt

Buffer overflow w usłudze Central Communications Aruba – nieuwierzytelnione RCE

CVE-2024-31467CRITICAL9.8PL ✓ten sam produkt

Buffer overflow w CLI service ArubaOS/InstantOS umożliwiający zdalny RCE

CVE-2024-31466CRITICAL9.8PL ✓ten sam produkt

Buffer overflow w CLI service ArubaOS/InstantOS — nieuwierzytelniony RCE