[TLP:CLEAR] HPE Aruba AOS opravuje 17 zraniteľností
HPE Aruba verziami 10.7.2.1,10.4.1.9, 8.13.1.0, 8.12.0.6 a 8.10.0.19 opravuje 17 zraniteľností v produktoch Access Points, Mobility Conductors, Mobility Controllers a WLAN a SD-WAN Gateways (AOS-10 a AOS-8) [1][2]. Najzávažnejšie zraniteľnosti sú uvedené nižšie. Ako dočasnú opravu niektorých zraniteľností je možné obmedziť rozhranie webu a príkazového riadku iba na dôveryhodných používateľov [1][2].
Autentizovanému vzdialenému útočníkovi je vrámci webového rozhrania umožnené nahrávať ľubovolné súbory a spúšťať ľubovolné príkazy v operačnom systéme postihnutého stroja [1].
Zraniteľnosť sa nachádza v produkte Aruba AOS vo verziách (>=10.7 AND <10.7.2.1) OR (>=10.4 AND <10.4.1.9) OR (>=8.13 AND <8.13.0.2) OR (>=8.12 AND <8.12.0.6) OR (>=8.10 AND <8.10.0.19).
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2025-37132 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-434: Unrestricted Upload of File with Dangerous Type at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 14. 10. 2025.
Autentizovanému vzdialenému útočníkovi je vrámci prostredia AOS príkazového riadku umožnené vykonávať príkazy v operačnom systéme postihnutého zariadenia [1].
Zraniteľnosť sa nachádza v produkte Aruba AOS vo verziách (>=10.7 AND <10.7.2.1) OR (>=10.4 AND <10.4.1.9) OR (>=8.13 AND <8.13.0.2) OR (>=8.12 AND <8.12.0.6) OR (>=8.10 AND <8.10.0.19).
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2025-37133 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 14. 10. 2025.
Autentizovanému vzdialenému útočníkovi je kvôli chybe v knižnici webového rozhrania umožnené vykonávať príkazy v operačnom systéme postihnutého stroja [1].
Zraniteľnosť sa nachádza v produkte Aruba AOS vo verziách (>=10.7 AND <10.7.2.0) OR (>=10.4 AND <10.4.1.8) OR (>=8.13 AND <8.13.0.1) OR (>=8.12 AND <8.12.0.5) OR (>=8.10 AND <8.10.0.18).
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2025-37134 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 14. 10. 2025.
Neautentizovanému lokálnemu útočníkovi je umožnené obísť zabezpečené spúšťanie systému (secure boot), vďaka čomu môže na postihnutom stroji spúšťať škodlivý firmvér [2].
Zraniteľnosť sa nachádza v produkte Aruba AOS vo verziách (>=10.7 AND <10.7.2.1) OR (>=10.4 AND <10.4.1.8) OR (>=8.13 AND <8.13.0.2) OR (>=8.12 AND <8.12.0.6) OR (>=8.10 AND <8.10.0.17).
CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:N
Viac informácií:
- CVE-2025-37147 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-290: Authentication Bypass by Spoofing at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 14. 10. 2025.
Odkazy
Za CESNET-CERTS Martin Krajči dňa 15. 10. 2025.
