PT-2021-17090 · Aruba · Aruba Clearpass Policy Manager
Publicado
2021-02-23
·
Atualizado
2022-07-12
·
CVE-2021-26685
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Aruba ClearPass Policy Manager anteriores à 6.9.5
Aruba ClearPass Policy Manager versão 6.8.8-HF1
Aruba ClearPass Policy Manager versão 6.7.14-HF1
Descrição
Foi descoberta uma vulnerabilidade de injeção de SQL remota autenticada na API da interface de gerenciamento baseada na web do ClearPass, permitindo que um invasor remoto autenticado realize ataques de injeção de SQL contra a instância do ClearPass. Isso poderia permitir que um invasor obtivesse e modificasse informações confidenciais no banco de dados subjacente.
Recomendações
Para versões anteriores à 6.9.5, atualize para a versão 6.9.5 ou posterior.
Para a versão 6.8.8-HF1, atualize para uma versão posterior à 6.8.8-HF1.
Para a versão 6.7.14-HF1, atualize para uma versão posterior à 6.7.14-HF1.
Como solução alternativa temporária, considere restringir o acesso à API da interface de gerenciamento baseada na web até que um patch esteja disponível.
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Aruba Clearpass Policy Manager