[TLP:CLEAR] HPE Networking Instant On Access Points opravuje 2 zranitelnosti
HPE Aruba Networking opravuje 2 zranitelnosti v produktu HPE Networking Instant On Access Points. Zařízení se v týdnu od 30. června 2025 automaticky aktualizují na verzi 3.2.1.0 nebo vyšší. Ruční upgrade je možný přes aplikaci nebo web [1].
Neautentizovanému vzdálenému útočníkovi je kvůli přítomnosti pevně zakódovaných přihlašovacích údajů umožněno obejít běžné ověřování a získat administrátorský přístup k systému [1].
Zranitelnost se nachází v produktu HPE Networking Instant On Access Points ve verzích <=3.2.0.1.
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2025-37103 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-798: Use of Hard-coded Credentials at cwe.mitre.org
Zranitelnost byla veřejně oznámena 8. 7. 2025.
Autentizovanému vzdálenému útočníkovi s vyššími oprávněními je kvůli zranitelnosti typu command injection v příkazové řádce umožněno spustit libovolné příkazy s vysokými systémovými oprávněními [1].
Zranitelnost se nachází v produktu HPE Networking Instant On Access Points ve verzích <=3.2.0.1.
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2025-37102 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 8. 7. 2025.
Za CESNET-CERTS Michaela Jarošová dne 15. 7. 2025.
