Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Fecha de publicación: 05/05/2022

Importancia: Crítica

Recursos afectados:

• ClearPass Policy Manager 6.10.x: versiones 6.10.4 y anteriores;
• ClearPass Policy Manager 6.9.x: versiones 6.9.9 y anteriores;
• ClearPass Policy Manager 6.8.x: versiones 6.8.9-HF2 y anteriores;
• ClearPass Policy Manager 6.7.x y anteriores.

Descripción:

Diversos investigadores han reportado 21 vulnerabilidades en ClearPass Policy Manager: 3 de severidad crítica, 12 altas y 6 medias. La explotación exitosa de estas vulnerabilidades podría permitir a un atacante ejecutar comandos arbitrarios, omitir la autenticación, realizar Cross-Site Scripting (XSS), divulgar información sensible o realizar Server-Side Request Forgery (SSRF).

Solución:

Actualizar las versiones afectadas a:

• ClearPass Policy Manager 6.10.x: versiones 6.10.5 y superiores;
• ClearPass Policy Manager 6.9.x: versiones 6.9.10 y superiores;
• ClearPass Policy Manager 6.8.x: versiones 6.8.9-HF3 y superiores.

Las versiones EOL no reciben soporte de actualizaciones, consultar la web del fabricante para más información.

Detalle:

• Las vulnerabilidades en la interfaz de gestión basada en la web de ClearPass Policy Manager podrían permitir a un atacante remoto, no autenticado, ejecutar comandos arbitrarios como root en el host subyacente, lo que podría ocasionar el compromiso completo del sistema. Se han asignado los identificadores CVE-2022-23657, CVE-2022-23658 y CVE-2022-23660 para estas vulnerabilidades críticas.

Para el resto de vulnerabilidades no críticas se pueden consultar sus identificadores CVE en el aviso del fabricante.

Etiquetas: Actualización, Comunicaciones, HP, Vulnerabilidad