[TLP:CLEAR] HPE Aruba Networking Mobility Conductors, Controllers a Gateways opravuje 2 zranitelnosti
HPE Aruba Networking v produktech Mobility Conductors, Mobility Controllers a WLAN a SD-WAN Gateways (AOS-10 a AOS-8) opravuje 2 vysoce závažné zranitelnosti [1]. Opravy jsou k dispozici ve verzích: AOS-10 - 10.7.0.0 a 10.4.1.5 AOS-8 - 8.12.0.3 a 8.10.0.15 Pro dočasnou opravu těchto zranitelností je možné omezit příkazový řádek a webové rozhraní určené pro správu na dedikovaný segment vrstvy 2 a/nebo kontrolovat přístup pomocí firewallu na vrstvě 3 nebo vyšší [1].
Autentizovanému vzdálenému útočníkovi je ve webovém rozhraní pro správu AOS umožněno přepsat libovolné systémové soubory a spustit kód [1].
Zranitelnost se nachází v produktu AOS ve verzích (>=8.10 AND <=8.10.0.14) OR (>=8.12 AND <=8.12.0.2) OR (>=10.4 AND <=10.4.1.4).
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2025-23051 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 14. 1. 2025.
Autentizovanému vzdálenému útočníkovi je v příkazovém řádku správy sítě umožněno spouštět libovolné příkazy jako privilegovaný uživatel na úrovni operačního systému postiženého zařízení [1].
Zranitelnost se nachází v produktu AOS ve verzích (>=8.10 AND <=8.10.0.14) OR (>=8.12 AND <=8.12.0.2) OR (>=10.4 AND <=10.4.1.4).
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2025-23052 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 14. 1. 2025.
Za CESNET-CERTS Michaela Ručková dne 22. 1. 2025.
