Aruba Networks telah mengeluarkan penasehat bumper untuk produk EdgeConnect Enterprise-nya yang menyertakan kerentanan yang dapat dieksploitasi untuk eksekusi kode jarak jauh (RCE) dan banyak lagi.

Versi perangkat lunak yang ditambal termasuk ECOS 9.2.2.0 dan yang lebih baru, 9.1.4.0 dan yang lebih baru, ECOS 9.0.8.0 dan yang lebih baru, dan ECOS 8.3.8.0 dan yang lebih baru.

Delapan dari kerentanan dinilai tingkat keparahan “tinggi”.

CVE-2022-37919 adalah kerentanan API.

milik Aruba penasehat menyatakan bahwa “penyerang yang tidak diautentikasi dapat mengeksploitasi kondisi ini melalui antarmuka manajemen berbasis web untuk membuat kondisi denial-of-service yang mencegah alat merespons permintaan API dengan benar.”

Tujuh kerentanan terpisah – CVE-2022-37920, CVE-2022-37921, CVE-2022-37922, CVE-2022-37923, CVE-2022-37924, CVE-2022-43541 dan CVE-2022-43542 – memungkinkan penyerang jarak jauh terotentikasi untuk menjalankan perintah arbitrer pada antarmuka baris perintah.

Penyerang akan membutuhkan kredensial masuk ke sistem target, tetapi hasil dari eksploitasi akan menjadi “kompromi sistem yang lengkap,” kata Aruba.

Mereka ditemukan oleh Bill Marquette, Daniel Jensen dan Erik De Jong dan dilaporkan melalui program bug bounty perusahaan.

CVE-2022-44533, ditemukan oleh Erik De Jong, adalah bug di antarmuka manajemen web yang memungkinkan penyerang jarak jauh yang diautentikasi menjalankan perintah sewenang-wenang pada host yang mendasarinya.

Ada juga tiga kerentanan dengan tingkat keparahan “sedang”: CVE-2022-37925 dan CVE-2022-37926 (mempengaruhi antarmuka manajemen web); dan CVE-2022-43518, bug traversal jalur.

Aruba mengatakan tidak mengetahui adanya kode eksploit yang menargetkan kerentanan ini.