CVSS: 6.0EPSS: 0%CPEs: 44EXPL: 0CVE-2020-12143 – The certificate used to identify Orchestrator to EdgeConnect devices is not validated
https://notcve.org/view.php?id=CVE-2020-12143
The certificate used to identify Orchestrator to EdgeConnect devices is not validated, which makes it possible for someone to establish a TLS connection from EdgeConnect to an untrusted Orchestrator. El certificado utilizado para identificar Orchestrator a los dispositivos EdgeConnect no está validado, lo que hace posible que alguien establezca una conexión TLS desde EdgeConnect a un Orchestrator no confiable. • https://www.silver-peak.com/sites/default/files/advisory/security_advisory_notice_rogue_orchestrator-cve_2020_12143.pdf • CWE-295: Improper Certificate Validation •
CVSS: 4.8EPSS: 0%CPEs: 2EXPL: 0CVE-2020-7110
https://notcve.org/view.php?id=CVE-2020-7110
ClearPass is vulnerable to Stored Cross Site Scripting by allowing a malicious administrator, or a compromised administrator account, to save malicious scripts within ClearPass that could be executed resulting in a privilege escalation attack. Resolution: Fixed in 6.7.13, 6.8.4, 6.9.0 and higher. ClearPass es vulnerable a un ataque de tipo Cross Site Scripting Almacenado al permitir a un administrador malicioso, o una cuenta de administrador comprometida, guardar scripts maliciosos dentro de ClearPass que podrían ser ejecutados, resultando en un ataque de escalada de privilegios. Resolución: corregido en las versiones 6.7.13, 6.8.4, 6.9.0 y posteriores. • https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2020-004.txt • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.9EPSS: 0%CPEs: 2EXPL: 0CVE-2020-7113
https://notcve.org/view.php?id=CVE-2020-7113
A vulnerability was found when an attacker, while communicating with the ClearPass management interface, is able to intercept and change parameters in the HTTP packets resulting in the compromise of some of ClearPass' service accounts. Resolution: Fixed in 6.7.10, 6.8.1, 6.9.0 and higher. Se encontró una vulnerabilidad cuando un atacante, mientras se comunica con la interfaz de administración de ClearPass, es capaz de interceptar y cambiar los parámetros en los paquetes HTTP, resultando en el compromiso de algunas de las cuentas de servicio de ClearPass. Resolución: corregido en las versiones 6.7.10, 6.8.1, 6.9.0 y posteriores. • https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2020-004.txt •
CVSS: 7.2EPSS: 0%CPEs: 2EXPL: 0CVE-2020-7111
https://notcve.org/view.php?id=CVE-2020-7111
A server side injection vulnerability exists which could allow an authenticated administrative user to achieve Remote Code Execution in ClearPass. Resolution: Fixed in 6.7.13, 6.8.4, 6.9.0 and higher. Hay una vulnerabilidad de inyección en el lado del servidor que podría permitir a un usuario administrativo autenticado lograr una Ejecución de Código Remota en ClearPass. Resolución: corregido en las versiones 6.7.13, 6.8.4, 6.9.0 y posteriores. • https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2020-004.txt • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') •
CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 0CVE-2020-7114
https://notcve.org/view.php?id=CVE-2020-7114
A vulnerability exists allowing attackers, when present in the same network segment as ClearPass' management interface, to make changes to certain databases in ClearPass by crafting HTTP packets. As a result of this attack, a possible complete cluster compromise might occur. Resolution: Fixed in 6.7.13, 6.8.4, 6.9.0 and higher. Hay una vulnerabilidad que permite a atacantes, cuando están presentes en el mismo segmento de red que la interfaz de administración de ClearPass, realizar cambios en determinadas bases de datos en ClearPass al crear paquetes HTTP. Como resultado de este ataque, podría ocurrir un posible compromiso del clúster completo. • https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2020-004.txt • CWE-306: Missing Authentication for Critical Function •