Af Eskil Sørensen, 26/09/24
HPE Aruba Networking har udsendt en meddelelse om, at der er fundet tre kritiske sårbarheder i deres Access Points og at sårbarhederne er håndteret med nye opdateringer. Det fremgår af en supportmeddelelse fra HPE.
Udnyttelse af sårbarhederne gør det muligt for en ikke-autentificeret angriber at afvikle kode fra ”remote”. Udnyttelse forudsætter netværksadgang til enheden.
Sårbarheden har id’erne CVE-2024-42505, CVE-2024-42506 og CVE-2024-42507. De har alle en CVSS-score på 9.8.
Berørte produkter er:
• AOS-10.6.x.x: 10.6.0.2 og tidligere
• AOS-10.4.x.x: 10.4.1.3 og tidligere
• Instant AOS-8.12.x.x: 8.12.0.1 og tidligere
• Instant AOS-8.10.x.x: 8.10.0.13 og tidligere
Der er ikke meldinger om aktiv udnyttelse, ligesom der heller ikke er set offentligt tilgængelige PoC-udnyttelser.
Det anbefales at brugere opdaterer til de nyeste versioner.
Links:
https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbnw04712en_us&docLocale=en_US