{ "document" : { "aggregate_severity" : { "text" : "hoch" }, "category" : "csaf_base", "csaf_version" : "2.0", "distribution" : { "tlp" : { "label" : "WHITE", "url" : "https://www.first.org/tlp/" } }, "lang" : "de-DE", "notes" : [ { "category" : "legal_disclaimer", "text" : "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen." }, { "category" : "description", "text" : "Aruba EdgeConnect ist eine SD-WAN-Produktfamilie für Unternehmenskunden.", "title" : "Produktbeschreibung" }, { "category" : "summary", "text" : "Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Aruba EdgeConnect SD-WAN Orchestrator ausnutzen, um einen Cross-Site Scripting Angriff durchzuführen, um Informationen offenzulegen und zu manipulieren und um die Kontrolle über das System zu übernehmen.", "title" : "Angriff" }, { "category" : "general", "text" : "- UNIX\n- Sonstiges", "title" : "Betroffene Betriebssysteme" } ], "publisher" : { "category" : "other", "contact_details" : "csaf-provider@cert-bund.de", "name" : "Bundesamt für Sicherheit in der Informationstechnik", "namespace" : "https://www.bsi.bund.de" }, "references" : [ { "category" : "self", "summary" : "WID-SEC-W-2023-2120 - CSAF Version", "url" : "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-2120.json" }, { "category" : "self", "summary" : "WID-SEC-2023-2120 - Portal Version", "url" : "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-2120" }, { "category" : "external", "summary" : "HPE Aruba Networking Product Security Advisory vom 2023-08-22", "url" : "https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-012.txt" } ], "source_lang" : "en-US", "title" : "Aruba EdgeConnect SD-WAN Orchestrator: Mehrere Schwachstellen", "tracking" : { "current_release_date" : "2023-08-22T22:00:00.000+00:00", "generator" : { "date" : "2024-08-15T17:57:20.810+00:00", "engine" : { "name" : "BSI-WID", "version" : "1.3.5" } }, "id" : "WID-SEC-W-2023-2120", "initial_release_date" : "2023-08-22T22:00:00.000+00:00", "revision_history" : [ { "date" : "2023-08-22T22:00:00.000+00:00", "number" : "1", "summary" : "Initiale Fassung" } ], "status" : "final", "version" : "1" } }, "product_tree" : { "branches" : [ { "branches" : [ { "category" : "product_name", "name" : "Aruba EdgeConnect SD-WAN Orchestrator < 9.3.1", "product" : { "name" : "Aruba EdgeConnect SD-WAN Orchestrator < 9.3.1", "product_id" : "T029460", "product_identification_helper" : { "cpe" : "cpe:/a:aruba:edgeconnect:9.3.1::sd-wan_orchestrator" } } } ], "category" : "vendor", "name" : "Aruba" } ] }, "vulnerabilities" : [ { "cve" : "CVE-2023-37440", "notes" : [ { "category" : "description", "text" : "Es gibt eine Schwachstelle in der webbasierten Verwaltungsschnittstelle von Aruba EdgeConnect SD-WAN Orchestrator. Ein entfernter, anonymer Angreifer kann Server-Side Request Forgery (SSRF)-Angriffe durchführen, um Informationen über die interne Struktur zu erhalten." } ], "release_date" : "2023-08-22T22:00:00.000+00:00", "title" : "CVE-2023-37440" }, { "cve" : "CVE-2023-37438", "notes" : [ { "category" : "description", "text" : "Es bestehen mehrere Schwachstellen in der webbasierten Verwaltungsoberfläche von Aruba EdgeConnect SD-WAN Orchestrator. Ein entfernter, authentifizierter Angreifer kann diese Probleme ausnutzen, um SQL-Injection-Angriffe durchzuführen und vertrauliche Informationen zu erhalten und zu ändern." } ], "release_date" : "2023-08-22T22:00:00.000+00:00", "title" : "CVE-2023-37438" }, { "cve" : "CVE-2023-37437", "notes" : [ { "category" : "description", "text" : "Es bestehen mehrere Schwachstellen in der webbasierten Verwaltungsoberfläche von Aruba EdgeConnect SD-WAN Orchestrator. Ein entfernter, authentifizierter Angreifer kann diese Probleme ausnutzen, um SQL-Injection-Angriffe durchzuführen und vertrauliche Informationen zu erhalten und zu ändern." } ], "release_date" : "2023-08-22T22:00:00.000+00:00", "title" : "CVE-2023-37437" }, { "cve" : "CVE-2023-37436", "notes" : [ { "category" : "description", "text" : "Es bestehen mehrere Schwachstellen in der webbasierten Verwaltungsoberfläche von Aruba EdgeConnect SD-WAN Orchestrator. Ein entfernter, authentifizierter Angreifer kann diese Probleme ausnutzen, um SQL-Injection-Angriffe durchzuführen und vertrauliche Informationen zu erhalten und zu ändern." } ], "release_date" : "2023-08-22T22:00:00.000+00:00", "title" : "CVE-2023-37436" }, { "cve" : "CVE-2023-37435", "notes" : [ { "category" : "description", "text" : "Es bestehen mehrere Schwachstellen in der webbasierten Verwaltungsoberfläche von Aruba EdgeConnect SD-WAN Orchestrator. Ein entfernter, authentifizierter Angreifer kann diese Probleme ausnutzen, um SQL-Injection-Angriffe durchzuführen und vertrauliche Informationen zu erhalten und zu ändern." } ], "release_date" : "2023-08-22T22:00:00.000+00:00", "title" : "CVE-2023-37435" }, { "cve" : "CVE-2023-37434", "notes" : [ { "category" : "description", "text" : "Es bestehen mehrere Schwachstellen in der webbasierten Verwaltungsoberfläche von Aruba EdgeConnect SD-WAN Orchestrator. Ein entfernter, authentifizierter Angreifer kann diese Probleme ausnutzen, um SQL-Injection-Angriffe durchzuführen und vertrauliche Informationen zu erhalten und zu ändern." } ], "release_date" : "2023-08-22T22:00:00.000+00:00", "title" : "CVE-2023-37434" }, { "cve" : "CVE-2023-37433", "notes" : [ { "category" : "description", "text" : "Es bestehen mehrere Schwachstellen in der webbasierten Verwaltungsoberfläche von Aruba EdgeConnect SD-WAN Orchestrator. Ein entfernter, authentifizierter Angreifer kann diese Probleme ausnutzen, um SQL-Injection-Angriffe durchzuführen und vertrauliche Informationen zu erhalten und zu ändern." } ], "release_date" : "2023-08-22T22:00:00.000+00:00", "title" : "CVE-2023-37433" }, { "cve" : "CVE-2023-37432", "notes" : [ { "category" : "description", "text" : "Es bestehen mehrere Schwachstellen in der webbasierten Verwaltungsoberfläche von Aruba EdgeConnect SD-WAN Orchestrator. Ein entfernter, authentifizierter Angreifer kann diese Probleme ausnutzen, um SQL-Injection-Angriffe durchzuführen und vertrauliche Informationen zu erhalten und zu ändern." } ], "release_date" : "2023-08-22T22:00:00.000+00:00", "title" : "CVE-2023-37432" }, { "cve" : "CVE-2023-37431", "notes" : [ { "category" : "description", "text" : "Es bestehen mehrere Schwachstellen in der webbasierten Verwaltungsoberfläche von Aruba EdgeConnect SD-WAN Orchestrator. Ein entfernter, authentifizierter Angreifer kann diese Probleme ausnutzen, um SQL-Injection-Angriffe durchzuführen und vertrauliche Informationen zu erhalten und zu ändern." } ], "release_date" : "2023-08-22T22:00:00.000+00:00", "title" : "CVE-2023-37431" }, { "cve" : "CVE-2023-37430", "notes" : [ { "category" : "description", "text" : "Es bestehen mehrere Schwachstellen in der webbasierten Verwaltungsoberfläche von Aruba EdgeConnect SD-WAN Orchestrator. Ein entfernter, authentifizierter Angreifer kann diese Probleme ausnutzen, um SQL-Injection-Angriffe durchzuführen und vertrauliche Informationen zu erhalten und zu ändern." } ], "release_date" : "2023-08-22T22:00:00.000+00:00", "title" : "CVE-2023-37430" }, { "cve" : "CVE-2023-37429", "notes" : [ { "category" : "description", "text" : "Es bestehen mehrere Schwachstellen in der webbasierten Verwaltungsoberfläche von Aruba EdgeConnect SD-WAN Orchestrator. Ein entfernter, authentifizierter Angreifer kann diese Probleme ausnutzen, um SQL-Injection-Angriffe durchzuführen und vertrauliche Informationen zu erhalten und zu ändern." } ], "release_date" : "2023-08-22T22:00:00.000+00:00", "title" : "CVE-2023-37429" }, { "cve" : "CVE-2023-37428", "notes" : [ { "category" : "description", "text" : "Es besteht eine Schwachstelle in der webbasierten Verwaltungsoberfläche von Aruba EdgeConnect SD-WAN Orchestrator. Ein entfernter, authentifizierter Angreifer kann dies ausnutzen, um beliebige Befehle auf dem zugrunde liegenden Hostsystem als \"root\" auszuführen, was zu einer vollständigen Kompromittierung des betroffenen Systems führt. Aruba legt keine weiteren Details zu dieser Schwachstelle offen." } ], "release_date" : "2023-08-22T22:00:00.000+00:00", "title" : "CVE-2023-37428" }, { "cve" : "CVE-2023-37427", "notes" : [ { "category" : "description", "text" : "Es besteht eine Schwachstelle in der webbasierten Verwaltungsoberfläche von Aruba EdgeConnect SD-WAN Orchestrator. Ein entfernter, authentifizierter Angreifer kann dies ausnutzen, um beliebige Befehle auf dem zugrunde liegenden Hostsystem als \"root\" auszuführen, was zu einer vollständigen Kompromittierung des betroffenen Systems führt. Aruba legt keine weiteren Details zu dieser Schwachstelle offen." } ], "release_date" : "2023-08-22T22:00:00.000+00:00", "title" : "CVE-2023-37427" }, { "cve" : "CVE-2023-37426", "notes" : [ { "category" : "description", "text" : "Es besteht eine Schwachstelle in Aruba EdgeConnect SD-WAN Orchestrator. Alle Installationen verwenden denselben statischen SSH-Hostschlüssel. Dadurch kann ein Angreifer die SSH-Hostsignatur fälschen und sich so als legitimer Orchestrator-Host ausgeben." } ], "release_date" : "2023-08-22T22:00:00.000+00:00", "title" : "CVE-2023-37426" }, { "cve" : "CVE-2023-37424", "notes" : [ { "category" : "description", "text" : "Es besteht eine Schwachstelle in der webbasierten Verwaltungsschnittstelle von Aruba EdgeConnect SD-WAN Orchestrator, wenn bestimmte Voraussetzungen außerhalb der Kontrolle des Angreifers erfüllt sind. Ein entfernter, anonymer Angreifer kann dies ausnutzen, um beliebige Befehle auf dem zugrunde liegenden Hostsystem auszuführen, was zu einer vollständigen Kompromittierung des betroffenen Systems führt. Aruba legt keine weiteren Details zu dieser Schwachstelle offen." } ], "release_date" : "2023-08-22T22:00:00.000+00:00", "title" : "CVE-2023-37424" }, { "cve" : "CVE-2023-37439", "notes" : [ { "category" : "description", "text" : "Im Aruba EdgeConnect SD-WAN Orchestrator Web Administration Interface existieren mehrere Cross-Site Scripting Schwachstellen. HTML und Script-Eingaben werden nicht ordnungsgemäß überprüft, bevor sie an den Benutzer zurückgegeben werden. Ein entfernter, anonymer oder authentisierter Angreifer kann durch Ausnutzung dieser Schwachstellen beliebigen HTML- und Script-Code durch den Browser des Benutzers im Kontext der betroffenen Seite ausführen. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich." } ], "release_date" : "2023-08-22T22:00:00.000+00:00", "title" : "CVE-2023-37439" }, { "cve" : "CVE-2023-37425", "notes" : [ { "category" : "description", "text" : "Im Aruba EdgeConnect SD-WAN Orchestrator Web Administration Interface existieren mehrere Cross-Site Scripting Schwachstellen. HTML und Script-Eingaben werden nicht ordnungsgemäß überprüft, bevor sie an den Benutzer zurückgegeben werden. Ein entfernter, anonymer oder authentisierter Angreifer kann durch Ausnutzung dieser Schwachstellen beliebigen HTML- und Script-Code durch den Browser des Benutzers im Kontext der betroffenen Seite ausführen. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich." } ], "release_date" : "2023-08-22T22:00:00.000+00:00", "title" : "CVE-2023-37425" }, { "cve" : "CVE-2023-37423", "notes" : [ { "category" : "description", "text" : "Im Aruba EdgeConnect SD-WAN Orchestrator Web Administration Interface existieren mehrere Cross-Site Scripting Schwachstellen. HTML und Script-Eingaben werden nicht ordnungsgemäß überprüft, bevor sie an den Benutzer zurückgegeben werden. Ein entfernter, anonymer oder authentisierter Angreifer kann durch Ausnutzung dieser Schwachstellen beliebigen HTML- und Script-Code durch den Browser des Benutzers im Kontext der betroffenen Seite ausführen. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich." } ], "release_date" : "2023-08-22T22:00:00.000+00:00", "title" : "CVE-2023-37423" }, { "cve" : "CVE-2023-37422", "notes" : [ { "category" : "description", "text" : "Im Aruba EdgeConnect SD-WAN Orchestrator Web Administration Interface existieren mehrere Cross-Site Scripting Schwachstellen. HTML und Script-Eingaben werden nicht ordnungsgemäß überprüft, bevor sie an den Benutzer zurückgegeben werden. Ein entfernter, anonymer oder authentisierter Angreifer kann durch Ausnutzung dieser Schwachstellen beliebigen HTML- und Script-Code durch den Browser des Benutzers im Kontext der betroffenen Seite ausführen. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich." } ], "release_date" : "2023-08-22T22:00:00.000+00:00", "title" : "CVE-2023-37422" }, { "cve" : "CVE-2023-37421", "notes" : [ { "category" : "description", "text" : "Im Aruba EdgeConnect SD-WAN Orchestrator Web Administration Interface existieren mehrere Cross-Site Scripting Schwachstellen. HTML und Script-Eingaben werden nicht ordnungsgemäß überprüft, bevor sie an den Benutzer zurückgegeben werden. Ein entfernter, anonymer oder authentisierter Angreifer kann durch Ausnutzung dieser Schwachstellen beliebigen HTML- und Script-Code durch den Browser des Benutzers im Kontext der betroffenen Seite ausführen. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich." } ], "release_date" : "2023-08-22T22:00:00.000+00:00", "title" : "CVE-2023-37421" } ] }