[TLP:CLEAR] HPE Aruba Networking opravuje 33 zraniteľností v rôznych produktoch
HPE Aruba Networking opravuje 33 zraniteľností v rôznych produktoch [1][2][3]. Najzávažnejšie zraniteľnosti sú uvedené nižšie. Zraniteľnosť CVE-2025-35991 sa pôvodne týka Intel procesorov [4]. Viaceré AOS-10 a AOS-8 verzie (zoznam dostupný na [1][2]) sú zraniteľnosťami postihnuté ale opravu nedostanú, pretože sú EoM. Postihnuté produkty a ich opravené verzie: Mobility Conductors AOS - 10.8.0.1, 10.7.2.3, 10.4.1.11, 8.13.1.2, 8.12.0.7, 8.10.0.22 [1] Mobility Controllers AOS - 10.8.0.1, 10.7.2.3, 10.4.1.11, 8.13.1.2, 8.12.0.7, 8.10.0.22 [1] WLAN Gateways AOS (spravované cez HPE Aruba Networking Central) - 10.8.0.1, 10.7.2.3, 10.4.1.11, 8.13.1.2, 8.12.0.7, 8.10.0.22 [1] SD-WAN Gateways AOS (spravované cez HPE Aruba Networking Central) - 10.8.0.1, 10.7.2.3, 10.4.1.11, 8.13.1.2, 8.12.0.7, 8.10.0.22 [1] Access Points AOS-10, AOS-8 Instant - 10.8.0.1, 10.7.2.3, 10.4.1.11, 8.13.1.2, 8.12.0.7, 8.10.0.22 [2] Alletra 4110, 4120, 4140 - 2.80_01-29-2026 [3] ProLiant Gen11 DL110, DL380a, DL560, ML110 - 2.80_01-29-2026 [3] ProLiant Gen11 Server DL320, DL360, DL380, ML350 - 2.80_01-29-2026 [3] Synergy Gen11 480 - 2.80_01-29-2026 [3] Compute Edge Server e930t - 2.80_01-29-2026 [3]
Neautentizovanému vzdialenému útočníkovi je v Mobility Conductors / Controllers a WLAN / SD-WAN Gateways v dôsledku pretečenia vyrovnávacej pamäte na halde umožnené vykonať ľubovoľný kód v operačnom systéme alebo spôsobiť pád aplikácie [1].
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2026-23827 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-122: Heap-based Buffer Overflow at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 12. 5. 2026.
Autentizovanému vzdialenému útočníkovi je v Access Points umožnené ujsť z obmedzeného Shell prostredia a vykonávať ľubovolné príkazy v operačnom systéme [2].
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2026-23820 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 12. 5. 2026.
Autentizovanému lokálnemu útočníkovi je v niektorých ProLiant DL/ML, Alletra, Synergy, and Edgeline serveroch s Intel Xeon procesormi 4. a 5. generácie umožnené neoprávnene pristupovať k informáciám [3][4]. Zoznam konkrétnych serverov je dostupný na [3].
CVSS: CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:N/A:N
Viac informácií:
- CVE-2025-35991 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-665: Improper Initialization at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 12. 5. 2026.
Neautentizovanému priľahlému útočníkovi je v Access Points umožnené vykonať XSS útok [2].
CVSS: CVSS:3.1/AV:A/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Viac informácií:
- CVE-2026-23819 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 12. 5. 2026.
Odkazy
- [1] https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbnw05048en_us
- [2] https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbnw05049en_us
- [3] https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbhf05052en_us
- [4] https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-01413.html
Za CESNET-CERTS Martin Krajči dňa 13. 5. 2026.
