cvelistv5 - cve-2024-25614

▼	URL	Tags
	security-alert@hpe.com	https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2024-002.txt
	af854a3a-2127-422b-91ae-364da2661108	https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2024-002.txt

wid-sec-w-2024-0563

Vulnerability from csaf_certbund

Published

2024-03-05 23:00

Modified

2024-03-05 23:00

Summary

Aruba ArubaOS: Mehrere Schwachstellen

Notes

Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.

Produktbeschreibung

ArubaOS ist das Betriebssystem der Aruba Netzwerkprodukte.

Angriff

Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in Aruba ArubaOS ausnutzen, um beliebigen Programmcode auszuführen einen Denial of Service zu verursachen oder Informationen offenzulegen.

Betroffene Betriebssysteme

- Sonstiges

JSON

To clipboard

{
  "document": {
    "aggregate_severity": {
      "text": "mittel"
    },
    "category": "csaf_base",
    "csaf_version": "2.0",
    "distribution": {
      "tlp": {
        "label": "WHITE",
        "url": "https://www.first.org/tlp/"
      }
    },
    "lang": "de-DE",
    "notes": [
      {
        "category": "legal_disclaimer",
        "text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
      },
      {
        "category": "description",
        "text": "ArubaOS ist das Betriebssystem der Aruba Netzwerkprodukte.",
        "title": "Produktbeschreibung"
      },
      {
        "category": "summary",
        "text": "Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in Aruba ArubaOS ausnutzen, um beliebigen Programmcode auszuf\u00fchren einen Denial of Service zu verursachen oder Informationen offenzulegen.",
        "title": "Angriff"
      },
      {
        "category": "general",
        "text": "- Sonstiges",
        "title": "Betroffene Betriebssysteme"
      }
    ],
    "publisher": {
      "category": "other",
      "contact_details": "csaf-provider@cert-bund.de",
      "name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
      "namespace": "https://www.bsi.bund.de"
    },
    "references": [
      {
        "category": "self",
        "summary": "WID-SEC-W-2024-0563 - CSAF Version",
        "url": "https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-0563.json"
      },
      {
        "category": "self",
        "summary": "WID-SEC-2024-0563 - Portal Version",
        "url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-0563"
      },
      {
        "category": "external",
        "summary": "HPE Aruba Networking Product Security Advisory vom 2024-03-05",
        "url": "https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2024-002.txt"
      }
    ],
    "source_lang": "en-US",
    "title": "Aruba ArubaOS: Mehrere Schwachstellen",
    "tracking": {
      "current_release_date": "2024-03-05T23:00:00.000+00:00",
      "generator": {
        "date": "2024-08-15T18:06:10.483+00:00",
        "engine": {
          "name": "BSI-WID",
          "version": "1.3.5"
        }
      },
      "id": "WID-SEC-W-2024-0563",
      "initial_release_date": "2024-03-05T23:00:00.000+00:00",
      "revision_history": [
        {
          "date": "2024-03-05T23:00:00.000+00:00",
          "number": "1",
          "summary": "Initiale Fassung"
        }
      ],
      "status": "final",
      "version": "1"
    }
  },
  "product_tree": {
    "branches": [
      {
        "branches": [
          {
            "branches": [
              {
                "category": "product_version_range",
                "name": "\u003c 10.5.1.0",
                "product": {
                  "name": "Aruba ArubaOS \u003c 10.5.1.0",
                  "product_id": "T033261"
                }
              },
              {
                "category": "product_version_range",
                "name": "\u003c 10.4.1.0",
                "product": {
                  "name": "Aruba ArubaOS \u003c 10.4.1.0",
                  "product_id": "T033262"
                }
              },
              {
                "category": "product_version_range",
                "name": "\u003c 8.11.2.1",
                "product": {
                  "name": "Aruba ArubaOS \u003c 8.11.2.1",
                  "product_id": "T033263"
                }
              },
              {
                "category": "product_version_range",
                "name": "\u003c 8.10.0.10",
                "product": {
                  "name": "Aruba ArubaOS \u003c 8.10.0.10",
                  "product_id": "T033264"
                }
              }
            ],
            "category": "product_name",
            "name": "ArubaOS"
          }
        ],
        "category": "vendor",
        "name": "Aruba"
      }
    ]
  },
  "vulnerabilities": [
    {
      "cve": "CVE-2024-25613",
      "notes": [
        {
          "category": "description",
          "text": "In Aruba ArubaOS existieren mehrere Schwachstellen. In der Befehlszeilenschnittstelle k\u00f6nnen unberechtigt Befehle injiziert werden. Ein privilegierter Angreifer kann diese Schwachstelle ausnutzen, um beliebige Befehle als privilegierter Benutzer auf dem zugrunde liegenden Betriebssystem auszuf\u00fchren."
        }
      ],
      "release_date": "2024-03-05T23:00:00.000+00:00",
      "title": "CVE-2024-25613"
    },
    {
      "cve": "CVE-2024-25612",
      "notes": [
        {
          "category": "description",
          "text": "In Aruba ArubaOS existieren mehrere Schwachstellen. In der Befehlszeilenschnittstelle k\u00f6nnen unberechtigt Befehle injiziert werden. Ein privilegierter Angreifer kann diese Schwachstelle ausnutzen, um beliebige Befehle als privilegierter Benutzer auf dem zugrunde liegenden Betriebssystem auszuf\u00fchren."
        }
      ],
      "release_date": "2024-03-05T23:00:00.000+00:00",
      "title": "CVE-2024-25612"
    },
    {
      "cve": "CVE-2024-25611",
      "notes": [
        {
          "category": "description",
          "text": "In Aruba ArubaOS existieren mehrere Schwachstellen. In der Befehlszeilenschnittstelle k\u00f6nnen unberechtigt Befehle injiziert werden. Ein privilegierter Angreifer kann diese Schwachstelle ausnutzen, um beliebige Befehle als privilegierter Benutzer auf dem zugrunde liegenden Betriebssystem auszuf\u00fchren."
        }
      ],
      "release_date": "2024-03-05T23:00:00.000+00:00",
      "title": "CVE-2024-25611"
    },
    {
      "cve": "CVE-2024-1356",
      "notes": [
        {
          "category": "description",
          "text": "In Aruba ArubaOS existieren mehrere Schwachstellen. In der Befehlszeilenschnittstelle k\u00f6nnen unberechtigt Befehle injiziert werden. Ein privilegierter Angreifer kann diese Schwachstelle ausnutzen, um beliebige Befehle als privilegierter Benutzer auf dem zugrunde liegenden Betriebssystem auszuf\u00fchren."
        }
      ],
      "release_date": "2024-03-05T23:00:00.000+00:00",
      "title": "CVE-2024-1356"
    },
    {
      "cve": "CVE-2024-25614",
      "notes": [
        {
          "category": "description",
          "text": "In Aruba ArubaOS existiert eine Schwachstelle. Diese besteht im CLI und erm\u00f6glicht es, beliebige Dateien auf dem Dateien auf dem zugrunde liegenden Betriebssystem zu l\u00f6schen. Ein privilegierter Angreifer kann diese Schwachstelle ausnutzen, um einen Denial of Service zu verursachen und die Integrit\u00e4t zu gef\u00e4hrden."
        }
      ],
      "release_date": "2024-03-05T23:00:00.000+00:00",
      "title": "CVE-2024-25614"
    },
    {
      "cve": "CVE-2024-25615",
      "notes": [
        {
          "category": "description",
          "text": "In Aruba ArubaOS existiert eine Schwachstelle. Diese besteht im Spectrum-Dienst, auf den \u00fcber das PAPI-Protokoll zugegriffen wird. Ein entfernter, anonymer Angreifer kann das ausnutzen, um einen Denial of Service zu verursachen."
        }
      ],
      "release_date": "2024-03-05T23:00:00.000+00:00",
      "title": "CVE-2024-25615"
    },
    {
      "cve": "CVE-2024-25616",
      "notes": [
        {
          "category": "description",
          "text": "In Aruba ArubaOS existiert eine Schwachstelle. Im IKE_AUTH-Verhandlungsprozess besteht ein Problem, das zur teilweisen Offenlegung sensibler Informationen f\u00fchrt. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um diese Informationen auszusp\u00e4hen."
        }
      ],
      "release_date": "2024-03-05T23:00:00.000+00:00",
      "title": "CVE-2024-25616"
    }
  ]
}

ghsa-h33v-9q8c-2j93

Vulnerability from github

Published

2024-03-05 21:30

Modified

2024-03-05 21:30

Severity ?

5.5 (Medium) - CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:H

Details

There is an arbitrary file deletion vulnerability in the CLI used by ArubaOS. Successful exploitation of this vulnerability results in the ability to delete arbitrary files on the underlying operating system, which could lead to denial-of-service conditions and impact the integrity of the controller.

Show details on source website

JSON

To clipboard

{
  "affected": [],
  "aliases": [
    "CVE-2024-25614"
  ],
  "database_specific": {
    "cwe_ids": [
      "CWE-22"
    ],
    "github_reviewed": false,
    "github_reviewed_at": null,
    "nvd_published_at": "2024-03-05T21:15:08Z",
    "severity": "MODERATE"
  },
  "details": "There is an arbitrary file deletion vulnerability in the CLI used by ArubaOS. Successful exploitation of this vulnerability results in the ability to delete arbitrary files on the underlying operating system, which could lead to denial-of-service conditions and impact the integrity of the controller. \n\n",
  "id": "GHSA-h33v-9q8c-2j93",
  "modified": "2024-03-05T21:30:25Z",
  "published": "2024-03-05T21:30:25Z",
  "references": [
    {
      "type": "ADVISORY",
      "url": "https://nvd.nist.gov/vuln/detail/CVE-2024-25614"
    },
    {
      "type": "WEB",
      "url": "https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2024-002.txt"
    }
  ],
  "schema_version": "1.4.0",
  "severity": [
    {
      "score": "CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:H",
      "type": "CVSS_V3"
    }
  ]
}

gsd-2024-25614

Vulnerability from gsd

Modified

2024-02-09 06:02

Details

There is an arbitrary file deletion vulnerability in the CLI used by ArubaOS. Successful exploitation of this vulnerability results in the ability to delete arbitrary files on the underlying operating system, which could lead to denial-of-service conditions and impact the integrity of the controller.

Aliases

CVE-2024-25614

JSON

To clipboard

{
  "gsd": {
    "metadata": {
      "exploitCode": "unknown",
      "remediation": "unknown",
      "reportConfidence": "confirmed",
      "type": "vulnerability"
    },
    "osvSchema": {
      "aliases": [
        "CVE-2024-25614"
      ],
      "details": "There is an arbitrary file deletion vulnerability in the CLI used by ArubaOS. Successful exploitation of this vulnerability results in the ability to delete arbitrary files on the underlying operating system, which could lead to denial-of-service conditions and impact the integrity of the controller. \n\n",
      "id": "GSD-2024-25614",
      "modified": "2024-02-09T06:02:34.322536Z",
      "schema_version": "1.4.0"
    }
  },
  "namespaces": {
    "cve.org": {
      "CVE_data_meta": {
        "ASSIGNER": "security-alert@hpe.com",
        "ID": "CVE-2024-25614",
        "STATE": "PUBLIC"
      },
      "affects": {
        "vendor": {
          "vendor_data": [
            {
              "product": {
                "product_data": [
                  {
                    "product_name": "ArubaOS Wi-Fi Controllers and Campus/Remote Access Points",
                    "version": {
                      "version_data": [
                        {
                          "version_value": "not down converted",
                          "x_cve_json_5_version_data": {
                            "defaultStatus": "affected",
                            "versions": [
                              {
                                "status": "affected",
                                "version": "ArubaOS 10.5.x.x: 10.5.0.1 and below"
                              },
                              {
                                "status": "affected",
                                "version": "ArubaOS 10.4.x.x: 10.4.0.3 and below"
                              },
                              {
                                "status": "affected",
                                "version": "ArubaOS 8.11.x.x: 8.11.2.0 and below"
                              },
                              {
                                "status": "affected",
                                "version": "ArubaOS 8.10.x.x:  8.10.0.9 and below"
                              }
                            ]
                          }
                        }
                      ]
                    }
                  }
                ]
              },
              "vendor_name": "Hewlett Packard Enterprise (HPE)"
            }
          ]
        }
      },
      "credits": [
        {
          "lang": "en",
          "value": "Erik De Jong (bugcrowd.com/erikdejong)"
        }
      ],
      "data_format": "MITRE",
      "data_type": "CVE",
      "data_version": "4.0",
      "description": {
        "description_data": [
          {
            "lang": "eng",
            "value": "There is an arbitrary file deletion vulnerability in the CLI used by ArubaOS. Successful exploitation of this vulnerability results in the ability to delete arbitrary files on the underlying operating system, which could lead to denial-of-service conditions and impact the integrity of the controller. \n\n"
          }
        ]
      },
      "generator": {
        "engine": "Vulnogram 0.1.0-dev"
      },
      "impact": {
        "cvss": [
          {
            "attackComplexity": "LOW",
            "attackVector": "NETWORK",
            "availabilityImpact": "HIGH",
            "baseScore": 5.5,
            "baseSeverity": "MEDIUM",
            "confidentialityImpact": "NONE",
            "integrityImpact": "LOW",
            "privilegesRequired": "HIGH",
            "scope": "UNCHANGED",
            "userInteraction": "NONE",
            "vectorString": "CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:H",
            "version": "3.1"
          }
        ]
      },
      "problemtype": {
        "problemtype_data": [
          {
            "description": [
              {
                "lang": "eng",
                "value": "n/a"
              }
            ]
          }
        ]
      },
      "references": {
        "reference_data": [
          {
            "name": "https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2024-002.txt",
            "refsource": "MISC",
            "url": "https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2024-002.txt"
          }
        ]
      },
      "source": {
        "discovery": "UNKNOWN"
      }
    },
    "nvd.nist.gov": {
      "cve": {
        "descriptions": [
          {
            "lang": "en",
            "value": "There is an arbitrary file deletion vulnerability in the CLI used by ArubaOS. Successful exploitation of this vulnerability results in the ability to delete arbitrary files on the underlying operating system, which could lead to denial-of-service conditions and impact the integrity of the controller. \n\n"
          },
          {
            "lang": "es",
            "value": "Existe una vulnerabilidad de eliminaci\u00f3n de archivos arbitraria en la CLI utilizada por ArubaOS. La explotaci\u00f3n exitosa de esta vulnerabilidad da como resultado la capacidad de eliminar archivos arbitrarios en el sistema operativo subyacente, lo que podr\u00eda provocar condiciones de denegaci\u00f3n de servicio y afectar la integridad del controlador."
          }
        ],
        "id": "CVE-2024-25614",
        "lastModified": "2024-03-06T15:18:08.093",
        "metrics": {
          "cvssMetricV31": [
            {
              "cvssData": {
                "attackComplexity": "LOW",
                "attackVector": "NETWORK",
                "availabilityImpact": "HIGH",
                "baseScore": 5.5,
                "baseSeverity": "MEDIUM",
                "confidentialityImpact": "NONE",
                "integrityImpact": "LOW",
                "privilegesRequired": "HIGH",
                "scope": "UNCHANGED",
                "userInteraction": "NONE",
                "vectorString": "CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:H",
                "version": "3.1"
              },
              "exploitabilityScore": 1.2,
              "impactScore": 4.2,
              "source": "security-alert@hpe.com",
              "type": "Secondary"
            }
          ]
        },
        "published": "2024-03-05T21:15:08.473",
        "references": [
          {
            "source": "security-alert@hpe.com",
            "url": "https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2024-002.txt"
          }
        ],
        "sourceIdentifier": "security-alert@hpe.com",
        "vulnStatus": "Awaiting Analysis"
      }
    }
  }
}

cve-2024-25614

Vulnerability from cvelistv5

Tags

Sightings

Nomenclature

Action not permitted

cve-2024-25614

Vulnerability from cvelistv5

wid-sec-w-2024-0563

Vulnerability from csaf_certbund

ghsa-h33v-9q8c-2j93

Vulnerability from github

gsd-2024-25614

Vulnerability from gsd

Tags

Sightings

Nomenclature