[TLP:CLEAR] HPE Aruba Networking opravuje 9 zranitelností
HPE Aruba opravuje 9 zranitelností v produktech HPE Aruba Networking Private 5G Core a EdgeConnect SD-WAN Orchestrator. Nejzávažnější zranitelnosti jsou popsány níže, zbylé naleznete na [1][2]. Produkty a jejich opravené verze: HPE Aruba Networking Private 5G Core - 1.25.1.0 [1] HPE Aruba Networking EdgeConnect SD-WAN Orchestrator - 9.6.1, 9.5.6, 9.4.8 [2]
Neautentizovanému útočníkovi v lokální síti je kvůli obejití autentizace v aplikačním API umožněno vytvořit neoprávněný administrátorský účet, čímž může získat administrátorský přístup, měnit konfiguraci systému a přistupovat k citlivým datům nebo s nimi manipulovat [1].
Zranitelnost se nachází v produktu HPE Aruba Networking Private 5G Core ve verzích >=1.24.3.0 AND <=1.24.3.3.
CVSS: CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2026-23595 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-287: Improper Authentication at cwe.mitre.org
Zranitelnost byla veřejně oznámena 10. 2. 2026.
Autentizovanému vzdálenému útočníkovi je kvůli zranitelnostem ve webovém rozhraní pro správu EdgeConnect SD-WAN Orchestrator umožněno spouštět libovolné SQL příkazy a manipulovat s daty [2].
Zranitelnost se nachází v produktu EdgeConnect SD-WAN Orchestrator ve verzích (>=9.6.0 AND <9.6.1) OR (>=9.5.0 AND <9.5.6) OR (>=9.4.0 AND <9.4.8).
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2025-37181 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2025-37182 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2025-37183 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 10. 2. 2026.
Neautentizovanému útočníkovi v lokální síti je kvůli nedostatečnému ošetření chyb v API HPE Aruba Networking 5G Core umožněno získat citlivé informace o účtech, rolích a konfiguraci, což může s dalšími zranitelnostmi usnadnit neoprávněný přístup a eskalaci oprávnění [1].
Zranitelnost se nachází v produktu HPE Aruba Networking Private 5G Core ve verzích >=1.24.3.0 AND <=1.24.3.3.
CVSS: CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Více informací:
- CVE-2026-23597 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2026-23598 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-209: Generation of Error Message Containing Sensitive Information at cwe.mitre.org
Zranitelnost byla veřejně oznámena 12. 2. 2026.
Odkazy
Za CESNET-CERTS Michaela Jarošová dne 18. 2. 2026.
