Múltiples vulnerabilidades en HPE Aruba Networking Access Points
HPE Aruba Networking – Access Points que empleen:
- Instant AOS-10: versiones 10.4.1.4 y anteriores.
- Instant AOS-8: versiones 8.10.0.13, 8.12.0.2. y anteriores.
Todas las versiones de software que han llegado al final de su mantenimiento (EoM) están afectadas por estas vulnerabilidades y no disponen de solución:
- AOS-10.6.x.x;
- AOS-10.5.x.x;
- AOS-10.3.x.x;
- Instant AOS-8.11.x.x;
- Instant AOS-8.9.x.x;
- Instant AOS-8.8.x.x;
- Instant AOS-8.7.x.x;
- Instant AOS-8.6.x.x;
- Instant AOS-8.5.x.x;
- Instant AOS-8.4.x.x;
- Instant AOS-6.5.x.x;
- Instant AOS-6.4.x.x.
Erik De Jong y zzcentury han reportado a HPE 6 nuevas vulnerabilidades, 2 de severidad crítica, 3 altas y 1 media. La explotación de estas vulnerabilidades podría provocar la ejecución de remota de código y el acceso sin autorización a determinados archivos.
Actualizar HPE Aruba Networking – Access Points a las versiones:
- AOS-10.7.0.0 o superior;
- AOS-10.4.1.5 o superior;
- Instant AOS-8.12.0.3 o superior;
- Instant AOS-8.10.0.14 o superior.
Un atacante podría enviar paquetes especialmente diseñados al puerto UDP de PAPI (8211). La explotación exitosa de estas vulnerabilidades críticas permitiría la ejecución remota de código como usuario privilegiado en el sistema operativo subyacente. Se han asignado los identificadores CVE-2024-47459 y CVE-2024-47460 para estas vulnerabilidades.
Además, se han asignado los identificadores CVE-2024-47461, CVE-2024-47462, CVE-2024-47463 para las vulnerabilidades altas y CVE-2024-47464 para la vulnerabilidad media.