HelseCERT har blitt kjent med kritiske sårbarheter i Aruba EdgeConnect Enterprise Orchestrator1,2,3.

Sårbarhetene lar en angriper omgå autentisering og muliggjør kodeeksekvering.

Følgende sårbarheter er funnet:

•       CVE-2022-37913 (CVSS v3.1 – 9.8) – Kritisk

•       CVE-2022-37914 (CVSS v3.1 – 9.8) – Kritisk

•       CVE-2022-37915 (CVSS v3.1 – 9.8) – Kritisk

 

Sårbarhetene er lukket i følgende versjoner:

•       Aruba EdgeConnect Enterprise Orchestrator 9.2.0.40405 og over

•       Aruba EdgeConnect Enterprise Orchestrator 9.1.3.40197 og over

•       Aruba EdgeConnect Enterprise Orchestrator 9.0.7.40110 og over

•       Aruba EdgeConnect Enterprise Orchestrator 8.10.23.40015 og over

 

NCSC anbefaler alle som bruker Aruba EdgeConnect Enterprise Orchestrator til å oppdatere så snart som mulig3.

Referanser:

1https://www.bleepingcomputer.com/news/security/aruba-fixes-critical-rce-and-auth-bypass-flaws-in-edgeconnect/

2https://securityaffairs.co/wordpress/137000/security/aruba-edgeconnect-flaws.html

3https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2022-015.txt