[TLP:CLEAR] HPE opravuje 24 zraniteľností v rôznych produktoch
HPE opravuje 24 zraniteľností v rôznych produktoch. Najzávažnejšie z nich nájdete nižšie, zvyšné sú uvedené na [1][2][3][5]. Produkty a ich opravené verzie: HPE Aruba Networking AOS-CX - 10.16.1001, 10.15.1030, 10.14.1060, 10.13.1101, 10.10.1170 [1], HPE Aruba Networking Management Software (AirWave) - 8.3.0.5 [2], HPE Compute Scale-up Server 3200 - v1.55.98 [3], HPE Telco Service Activator - v10.4.0 [5].
Autentizovanému vzdialenému útočníkovi s read-only oprávneniami je v dôsledku nedostatočnej kontroly prístupu v SSH restricted rozhraní sieťových služieb manažmentu v HPE Aruba Networking AOS-CX umožnené získať administrátorské oprávnenia na napadnutom systéme [1].
Zraniteľnosť sa nachádza v produkte HPE Aruba Networking AOS-CX vo verziách (<10.16.1001) OR (<10.15.1030 AND <10.14.1060) OR (<10.13.1101) OR (<10.10.1170).
CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2025-37155 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-284: Improper Access Control at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 18. 11. 2025.
Autentizovanému vzdialenému útočníkovi je v dôsledku nedostatočnej kontroly vstupov v CLI rozhraní HPE Aruba Networking Management Software (AirWave) umožnené vykonať command injection útok, v dôsledku čoho získa možnosť vykonávať príkazy v operačnom systéme s vyššími oprávneniami [2].
Zraniteľnosť sa nachádza v produkte HPE Aruba Networking Management Software (AirWave) vo verziách <8.3.0.5.
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2025-37163 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 18. 11. 2025.
Autentizovanému lokálnemu útočníkovi je v dôsledku nedostatočnej izolácie v mechanizme stream cache v určitých procesoroch Intel použitých v HPE Compute Scale-up Server 3200 umožnené získať vyššie oprávnenia [3]. Zoznam dotknutých procesorov môžete nájsť na [4]
Zraniteľnosť sa nachádza v produkte HPE Compute Scale-up Server 3200 vo verziách <v1.55.98.
CVSS: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H
Viac informácií:
- CVE-2025-20109 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-653: Improper Isolation or Compartmentalization at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 18. 11. 2025.
Neautentizovanému vzdialenému útočníkovi je v dôsledku implementačnej chyby v spracovaní klientskych požiadaviek v HPE Telco Service Activator (Undertow) umožnené opakovane vyvolať serverové resetovanie HTTP/2 streamov, čo môže viesť k spôsobeniu DoS útoku [5][6].
Zraniteľnosť sa nachádza v produkte HPE Telco Service Activator vo verziách <v10.4.0.
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Viac informácií:
- CVE-2025-9784 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-404: Improper Resource Shutdown or Release at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 21. 11. 2025.
Odkazy
- [1] https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbnw04888en_us&docLocale=en_US
- [2] https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbnw04971en_us&docLocale=en_US
- [3] https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbhf04969en_us&docLocale=en_US
- [4] https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-01249.html
- [5] https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbnw04973en_us&docLocale=en_US
- [6] https://nvd.nist.gov/vuln/detail/CVE-2025-9784
Za CESNET-CERTS Henrieta Paločková dňa 25. 11. 2025.
