Aruba, EdgeConnect Enterprise Orchestrator’da ortaya çıkan RCE zafiyeti için güncelleme yayınladı.
CVE-2022-37913 ve CVE-2022-37914 olarak izlenen zafiyet, CVSS v3.1 – 9.8 kritik puan almış durumda. Zafiyetin istismar edilmesi, saldırganların EdgeConnect Orchestrator’ın yönetim paneline kimlik doğrulamadan erişim yapmasına olanak sağlıyor.
CVE-2022-37915 olarak izlenen diğer zafiyet ise yine EdgeConnect Orchestrator’da bulunuyor ve istismar edilmesi sistem üzerinde RCE zafiyetine izin veriyor.
Zafiyet içeren sürümleri aşağıdaki gibi:
- Aruba EdgeConnect Enterprise Orchestrator 9.2.0.40405 and above
- Aruba EdgeConnect Enterprise Orchestrator 9.1.3.40197 and above
- Aruba EdgeConnect Enterprise Orchestrator 9.0.7.40110 and above
- Aruba EdgeConnect Enterprise Orchestrator 8.10.23.40015 and above
Aruba, daha eski sürümüler için güncelleme yayınlamayacağını belirtti ve kullanıcılarının yeni bir sürüme geçmelerini tavsiye etti ve yönetim ara yüzünü vlan segmantasyonu ile sınırlanmasını tavsiye etti.
Kaynak: bleepingcomputer.com