Noticias

Vulnerabilidades de severidad alta en ArubaOS

Fecha de publicación: 

HPE Aruba Networking ha identificado vulnerabilidades de severidad alta en servicios de gestión de red que podrían ser explotadas por un atacante autenticado. Una vulnerabilidad de inyección de comandos en la interfaz de línea de comandos permite la ejecución de comandos arbitrarios con privilegios elevados en el sistema operativo subyacente. Adicionalmente, una vulnerabilidad de inyección de parámetros en la interfaz de gestión basada en web de los sistemas operativos AOS-8 y AOS-10 podría permitir a un usuario autenticado sobrescribir archivos de sistema arbitrarios. La explotación de estas vulnerabilidades podría resultar en un compromiso completo del sistema, alteración de la configuración, pérdida de disponibilidad y otros riesgos significativos para la integridad y confidencialidad de los datos. Se recomienda aplicar actualizaciones de seguridad y seguir las mejores prácticas de mitigación para proteger los activos afectados.

Recursos afectados

  • HPE Aruba Networking Mobility Conductor
  • HPE Aruba Networking Mobility Controllers
  • Puertas de enlace WLAN gestionadas por HPE Aruba Networking Central
  • Puertas de enlace SD-WAN gestionadas por HPE Aruba Networking Central
  • AOS-10.4.x.x: 10.4.1.4 y versiones anteriores
  • AOS-8.12.x.x: 8.12.0.2 y versiones anteriores
  • AOS-8.10.x.x: 8.10.0.14 y versiones anteriores
  • AOS-10.6.x.x: todas
  • AOS-10.5.x.x: todas
  • AOS-10.3.x.x: todas
  • AOS-8.11.x.x: todas
  • AOS-8.9.x.x: todas
  • AOS-8.8.x.x: todas
  • AOS-8.7.x.x: todas
  • AOS-8.6.x.x: todas
  • AOS-6.5.4.x: todas
  • SD-WAN 8.7.0.0-2.3.0.x: todas
  • SD-WAN 8.6.0.4-2.2.x.x: todas

Análisis técnico

  • CVE-2025-23052: Vulnerabilidad de inyección de comandos autenticada en la interfaz de línea de comandos de un servicio de gestión de red. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante ejecutar comandos arbitrarios como un usuario privilegiado en el sistema operativo subyacente.
  • CWE -
  • CVSS: 7.2
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
  • Explotación: No detectada
  • CVE-2025-23051: Se presenta una vulnerabilidad de inyección de parámetros autenticada en la interfaz de gestión basada en web de los sistemas operativos AOS-8 y AOS-10. La explotación exitosa podría permitir a un usuario autenticado aprovechar la inyección de parámetros para sobrescribir archivos de sistema arbitrarios.
  • CWE -
  • CVSS: 7.2
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
  • Explotación: No detectada

Mitigación / Solución

HPE Aruba Networking recomienda actualizar los Controladores de Movilidad, Controladores y Puertas de Enlace a versiones de ArubaOS que resuelvan las vulnerabilidades descritas. Las versiones solucionadas incluyen: AOS-10.7.x.x (10.7.0.0 y superiores), AOS-10.4.x.x (10.4.1.5 y superiores), AOS-8.12.x.x (8.12.0.3 y superiores) y AOS-8.10.x.x (8.10.0.15 y superiores). Las actualizaciones se pueden descargar desde el HPE Networking Support Portal: networkingsupport.hpe.com/downloads.

Referencias adicionales