[TLP:CLEAR] HPE opravuje 13 zranitelností v různých produktech
HPE Aruba verzemi 10.7.2.2, 10.4.1.10, 8.13.1.1 a 8.10.0.21 opravuje 12 zranitelností v produktech Mobility Conductors, Mobility Controllers, WLAN a SD-WAN Gateways (AOS-10 a AOS-8) [1]. Dále verzí 4.7.6 (vydání 15. února 2026) opraví 1 zranitelnost v produktu HPE Aruba Networking VIA client pro Linux [2]. Nejzávažnější zranitelnosti naleznete níže, zbylé jsou uvedeny na [1][2].
Neautentizovanému vzdálenému útočníkovi je umožněno mazat libovolné soubory v rámci zasaženého systému a potenciálně způsobit stav odmítnutí služby na postižených zařízeních [1].
Zranitelnost se nachází v produktu Aruba AOS ve verzích (>=10.7 AND <10.7.2.2) OR (>=10.4 AND <10.4.1.10) OR (>=8.13 AND <8.13.1.1) OR (AND >=8.10 AND <8.10.0.21).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:L
Více informací:
- CVE-2025-37168 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-73: External Control of File Name or Path at cwe.mitre.org
Zranitelnost byla veřejně oznámena 13. 1. 2026.
Autentizovanému vzdálenému útočníkovi je v rámci webového rozhraní umožněno spustit libovolný kód jako privilegovaný uživatel v operačním systému postiženého zařízení [1].
Zranitelnost se nachází v produktu Aruba AOS ve verzích (>=10.7 AND <10.7.2.2) OR (>=10.4 AND <10.4.1.10) OR (>=8.13 AND <8.13.1.1) OR (AND >=8.10 AND <8.10.0.21).
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2025-37169 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-121: Stack-based Buffer Overflow at cwe.mitre.org
Zranitelnost byla veřejně oznámena 13. 1. 2026.
Autentizovanému vzdálenému útočníkovi je v rámci webového rozhraní umožněno spouštět libovolné příkazy jako privilegovaný uživatel v operačním systému postiženého zařízení [1].
Zranitelnost se nachází v produktu Aruba AOS ve verzích (>=10.7 AND <10.7.2.2) OR (>=10.4 AND <10.4.1.10) OR (>=8.13 AND <8.13.1.1) OR (AND >=8.10 AND <8.10.0.21).
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2025-37170 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2025-37171 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2025-37172 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 13. 1. 2026.
Autentizovanému vzdálenému útočníkovi je v rámci webového rozhraní umožněno nahrávat libovolné soubory jako privilegovaný uživatel a spouštět libovolné příkazy v operačním systému postiženého zařízení [1].
Zranitelnost se nachází v produktu Aruba AOS ve verzích (>=10.7 AND <10.7.2.2) OR (>=10.4 AND <10.4.1.10) OR (>=8.13 AND <8.13.1.1) OR (AND >=8.10 AND <8.10.0.21).
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2025-37175 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-434: Unrestricted Upload of File with Dangerous Type at cwe.mitre.org
Zranitelnost byla veřejně oznámena 13. 1. 2026.
Autentizovanému lokálnímu útočníkovi je umožněno eskalovat svá oprávnění a spouštět libovolný kód s oprávněními root [2].
Zranitelnost se nachází v produktu HPE Aruba Networking VIA client (linux) ve verzích <4.7.6.
CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2025-37186 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-732: Incorrect Permission Assignment for Critical Resource at cwe.mitre.org
Zranitelnost byla veřejně oznámena 13. 1. 2026.
Odkazy
Za CESNET-CERTS Michaela Jarošová dne 14. 1. 2026.
