CVSS: 6.3EPSS: 0%CPEs: 9EXPL: 0CVE-2023-43510 – Authenticated Remote Command Injection in ClearPass Policy Manager Web-Based Management Interface Leading to Partial System Compromise
https://notcve.org/view.php?id=CVE-2023-43510
A vulnerability in the ClearPass Policy Manager web-based management interface allows remote authenticated users to run arbitrary commands on the underlying host. A successful exploit could allow an attacker to execute arbitrary commands as a non-privileged user on the underlying operating system leading to partial system compromise. Una vulnerabilidad en la interfaz de administración basada en web de ClearPass Policy Manager permite a usuarios remotos autenticados ejecutar comandos arbitrarios en el host subyacente. Un exploit exitoso podría permitir a un atacante ejecutar comandos arbitrarios como usuario sin privilegios en el sistema operativo subyacente, lo que podría comprometer parcialmente el sistema. • https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-016.txt • CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') •
CVSS: 5.8EPSS: 0%CPEs: 9EXPL: 0CVE-2023-43509 – Unauthenticated Endpoint Allows Sending Arbitrary OnGuard Notifications
https://notcve.org/view.php?id=CVE-2023-43509
A vulnerability in the web-based management interface of ClearPass Policy Manager could allow an unauthenticated remote attacker to send notifications to computers that are running ClearPass OnGuard. These notifications can then be used to phish users or trick them into downloading malicious software. Una vulnerabilidad en la interfaz de administración basada en web de ClearPass Policy Manager podría permitir que un atacante remoto no autenticado envíe notificaciones a ordenadores que ejecutan ClearPass OnGuard. Estas notificaciones pueden utilizarse para realizar phishing a los usuarios o engañarlos para que descarguen software malicioso. • https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-016.txt • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.5EPSS: 0%CPEs: 9EXPL: 0CVE-2023-43508 – Authorization Bypass Leading to Privilege Escalation in ClearPass Policy Manager Web-Based Management Interface
https://notcve.org/view.php?id=CVE-2023-43508
Vulnerabilities in the web-based management interface of ClearPass Policy Manager allow an attacker with read-only privileges to perform actions that change the state of the ClearPass Policy Manager instance. Successful exploitation of these vulnerabilities allow an attacker to complete state-changing actions in the web-based management interface that should not be allowed by their current level of authorization on the platform. Las vulnerabilidades en la interfaz de administración basada en web de ClearPass Policy Manager permiten que un atacante con privilegios de solo lectura realice acciones que cambien el estado de la instancia de ClearPass Policy Manager. La explotación exitosa de estas vulnerabilidades permite a un atacante completar acciones de cambio del estado en la interfaz de administración basada en web que no deberían estar permitidas por su nivel actual de autorización en la plataforma. • https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-016.txt • CWE-863: Incorrect Authorization •
CVSS: 8.8EPSS: 0%CPEs: 9EXPL: 0CVE-2023-43507 – Authenticated SQL Injection Vulnerability in ClearPass Policy Manager Web-based Management Interface
https://notcve.org/view.php?id=CVE-2023-43507
A vulnerability in the web-based management interface of ClearPass Policy Manager could allow an authenticated remote attacker to conduct SQL injection attacks against the ClearPass Policy Manager instance. An attacker could exploit this vulnerability to obtain and modify sensitive information in the underlying database potentially leading to complete compromise of the ClearPass Policy Manager cluster. Una vulnerabilidad en la interfaz de administración basada en web de ClearPass Policy Manager podría permitir que un atacante remoto autenticado realice ataques de inyección SQL contra la instancia de ClearPass Policy Manager. Un atacante podría aprovechar esta vulnerabilidad para obtener y modificar información confidencial en la base de datos subyacente, lo que podría comprometer por completo el clúster de ClearPass Policy Manager. • https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-016.txt • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 7.8EPSS: 0%CPEs: 10EXPL: 0CVE-2023-43506 – Local Privilege Escalation in ClearPass OnGuard Linux Agent
https://notcve.org/view.php?id=CVE-2023-43506
A vulnerability in the ClearPass OnGuard Linux agent could allow malicious users on a Linux instance to elevate their user privileges to those of a higher role. A successful exploit allows malicious users to execute arbitrary code with root level privileges on the Linux instance. Una vulnerabilidad en el agente de Linux ClearPass OnGuard podría permitir a usuarios malintencionados elevar sus privilegios de usuario a aquellos de una función superior. Un exploit exitoso permite a usuarios malintencionados ejecutar código arbitrario con privilegios de root en la instancia de Linux. • https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-016.txt • CWE-269: Improper Privilege Management •