Nicholas Starke

**Nome do Software Vulnerável e Versões Afetadas** AOS Instant versões 8.x.x.x **Descrição** Uma falha no componente de manipulação de XML dos serviços DHCP do AOS-8 permite que um invasor remoto não autenticado provoque uma condição de negação de serviço. Isso ocorre por meio do consumo excessivo de recursos mediante interação do usuário, o que pode levar à interrupção do serviço ou à redução da disponibilidade do sistema. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Orchestrator (affected versions not specified) **Description** A flaw exists in the Orchestrator service that may allow a remote attacker who does not have an account to circumvent multi-factor authentication. Exploitation of this issue could lead to the creation of an administrator-level user account without the required multi-factor authentication, potentially compromising secure access to the system. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** ArubaOS-CX (versões afetadas não especificadas) **Descrição** Existe uma vulnerabilidade de negação de serviço (DoS) em nível de plataforma no software. A exploração bem-sucedida poderia permitir que um atacante com acesso administrativo execute código que torna o switch incapaz de inicializar e inoperante. **Recomendações** Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** (versões afetadas não especificadas) **Descrição** Existe uma falha na interface de linha de comando que pode permitir a um atacante remoto autenticado injetar comandos. A exploração pode levar à execução de comandos arbitrários no sistema operacional. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões afetadas não especificadas **Descrição** Existe uma falha na interface de gerenciamento baseada na web que pode permitir que um atacante remoto cause uma negação de serviço. A exploração pode levar a uma falha do sistema, exigindo reinicialização manual e potencialmente interrompendo as operações da rede. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Firmware AOS (versões afetadas não especificadas) **Descrição** Existe uma falha em um binário do firmware AOS que pode permitir que um ator malicioso e autenticado exclua permanentemente informações críticas de inicialização. A exploração deste problema pode tornar o sistema incapaz de inicializar, resultando em uma Negação de Serviço. A recuperação desta condição requer a substituição do hardware. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Aruba Access Points (versões afetadas não especificadas) **Descrição** Uma falha de segurança permite que um atacante contorne a verificação da raiz de confiança de hardware, possibilitando a execução de firmware modificado ou personalizado nos dispositivos afetados. Esse contorno impacta a integridade do processo de inicialização, podendo levar ao comprometimento completo do sistema. **Recomendações** Até o momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** AOS-8 Instant (versões afetadas não especificadas) AOS 10 (versões afetadas não especificadas) **Descrição** Existe uma falha na forma como os frames Ethernet são processados, permitindo potencialmente que um atacante remoto cause uma negação de serviço. A exploração bem-sucedida pode interromper os serviços de rede e exigir intervenção manual para restaurar a funcionalidade. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** HPE Aruba Networking 501 Wireless Client Bridge (versões afetadas não especificadas) **Descrição** O problema está relacionado a vulnerabilidades de injeção de comandos na interface web do HPE Aruba Networking 501 Wireless Client Bridge. Essas vulnerabilidades podem permitir que um atacante remoto execute comandos arbitrários como um usuário privilegiado no sistema operacional subjacente. A exploração requer credenciais de autenticação administrativas no sistema host. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** No specific software or versions mentioned. **Description** An authenticated issue has been identified that allows an attacker to establish highly privileged persistent arbitrary code execution across boot cycles. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this issue.

**Name of the Vulnerable Software and Affected Versions** Aruba 9200 and 9000 Series Controllers and Gateways (affected versions not specified) **Description** Vulnerabilities exist in the BIOS implementation that could allow an attacker to execute arbitrary code early in the boot sequence. An attacker could exploit this vulnerability to gain access to and change underlying sensitive information in the affected controller, leading to complete system compromise. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Aruba 9200 and 9000 Series Controllers and Gateways (affected versions not specified) **Description** Vulnerabilities exist in the BIOS implementation that could allow an attacker to execute arbitrary code early in the boot sequence. An attacker could exploit this issue to gain access to and change underlying sensitive information in the affected controller, leading to complete system compromise. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Aruba 9200 and 9000 Series Controllers and Gateways (affected versions not specified) **Description** A vulnerability in the secure boot implementation allows an attacker to bypass security controls, which would normally prohibit unsigned kernel images from executing. This enables the attacker to execute arbitrary runtime operating systems, including unverified and unsigned OS images. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** ArubaOS (affected versions not specified) **Description** An authenticated path traversal issue exists in the ArubaOS command line interface, allowing successful exploitation to result in the ability to read arbitrary files on the underlying operating system, including sensitive system files. This can enable unauthorized access to protected information. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** pfSense versions prior to 2.2.3 **Description** A cross-site scripting (XSS) issue allows remote attackers to inject arbitrary web script or HTML via the `descr` parameter in a "new" action to "system authservers.php" API endpoint. **Recommendations** For versions prior to 2.2.3, update to version 2.2.3 or later to resolve the issue. As a temporary workaround, consider restricting access to the "system authservers.php" endpoint to minimize the risk of exploitation. Avoid using the `descr` parameter in the affected endpoint until the issue is resolved.