[TLP:CLEAR] HPE Aruba Networking opravuje 7 zranitelností
HPE Aruba verzemi 10.8.0.1, 10.7.2.3, 10.4.1.11, 8.13.1.2, 8.12.0.7 a 8.10.0.22 opravuje 6 zranitelností v produktech Mobility Conductors, Mobility Controllers, Mobility Gateways a Access Points (AOS-10 a AOS-8) [1]. Dále verzí 7.5.1 opravuje 1 zranitelnost v produktu HPE Telco Network Function Virtualization Orchestrator [2]. Nejzávažnější zranitelnosti jsou popsány níže, zbylé naleznete na [1].
Neautentizovanému vzdálenému útočníkovi je kvůli nedostatečné validaci hlavičky Host v příchozích HTTP požadavcích v komponentě Undertow, používané v produktu HPE Telco Network Function Virtualization Orchestrator, umožněno zpracovat škodlivé požadavky, což může vést ke cache poisoning, interním síťovým skenům nebo převzetí uživatelských relací [2][3].
Zranitelnost se nachází v produktu HPE Telco Network Function Virtualization Orchestrator ve verzích >=7.5.0 AND <7.5.1.
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:L
Více informací:
- CVE-2025-12543 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-20: Improper Input Validation at cwe.mitre.org
Zranitelnost byla veřejně oznámena 31. 3. 2026.
Neautentizovanému útočníkovi v přilehlé síti je kvůli chybě ve zpracování bezdrátového šifrování prostřednictvím řízeného skupinového šifrovacího klíče (GTK) a podvržení identity hlavního identifikátoru bezdrátového přístupového bodu (BSSID) umožněno injektovat rámce, a tím podvrhnout síťový provoz a doručit upravená data vybraným klientům [1].
Zranitelnost se nachází v produktu Aruba AOS ve verzích (>=10.8.0.0 AND <10.8.0.1) OR (>=10.7.2.2 AND <10.7.2.3) OR (>=10.4.1.10 AND <10.4.1.11) OR (>=8.13.1.1 AND <8.13.1.2) OR (>=8.12.0.6 AND <8.12.0.7) OR (>=8.10.0.21 AND <8.10.0.22).
CVSS: CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
Více informací:
- CVE-2026-23601 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-327: Use of a Broken or Risky Cryptographic Algorithm at cwe.mitre.org
Zranitelnost byla veřejně oznámena 31. 3. 2026.
Neautentizovanému útočníkovi v přilehlé síti je umožněno podvrhnout klientovi řízený skupinový šifrovací klíč (GTK) ve standardizovaném protokolu pro bezdrátový roaming, a tím injektovat rámce, obejít izolaci klientů, ovlivnit komunikaci mezi klienty a ohrozit segmentaci sítě, integritu a důvěrnost komunikace [1].
Zranitelnost se nachází v produktu Aruba AOS ve verzích (>=10.8.0.0 AND <10.8.0.1) OR (>=10.7.2.2 AND <10.7.2.3) OR (>=10.4.1.10 AND <10.4.1.11) OR (>=8.13.1.1 AND <8.13.1.2) OR (>=8.12.0.6 AND <8.12.0.7) OR (>=8.10.0.21 AND <8.10.0.22).
CVSS: CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
Více informací:
- CVE-2026-23808 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-94: Improper Control of Generation of Code ('Code Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 31. 3. 2026.
Odkazy
Za CESNET-CERTS Michaela Jarošová dne 2. 4. 2026.
