شرکت Hewlett Packard (HPE) بهروزرسانیهای امنیتی را برای رفع آسیبپذیریهای متعدد از جمله دو باگ حیاتی منتشر کرده است که بر محصولات نقطه دسترسی شبکه Aruba تأثیر میگذارند و میتوانند منجر به اجرای دستور احراز هویت نشده شوند.
شدیدترین آسیبپذیری از میان شش آسیبپذیری جدید وصله شده دو نقص حیاتی با شناسههای CVE-2024-42509 (امتیاز CVSS: 9.8) و CVE-2024-47460 (امتیاز CVSS: 9.0)، نقص تزریق دستور احراز هویت نشده در سرویس CLI هستند که میتوانند منجر به اجرای کد دلخواه شوند. HPE در توصیهای گفت: «آسیبپذیری تزریق فرمان در سرویس زیربنایی CLI میتواند با ارسال پکتهای ساخته شده مخصوص به پورت UDP PAPI (پروتکل مدیریت نقطه دسترسی Aruba) (8211) منجر به RCE غیرقابل تأیید شود. نقصها بر نقاط دسترسی در حال اجرا Instant AOS-8 و AOS-10 تأثیر میگذارند:
- Instant AOS-8.12.x.x: 8.12.0.2 و پایینتر
- Instant AOS-8.10.x.x: 8.10.0.13 و پایینتر
- AOS-10.4.x.x: 10.4.1.4 و پایینتر
آسیبپذیریهای دیگری که توسط HPE برطرف شدهاند، به شرح زیر است:
- CVE-2024-47461 (امتیاز CVSS: 7.2): آسیبپذیری اجرای فرمان دلخواه از راه دور (RCE) در Instant AOS-8 و AOS-10
- CVE-2024-47462 و CVE-2024-47463 (امتیاز CVSS: 7.2): آسیبپذیری ایجاد فایل دلخواه در Instant AOS-8 و AOS-10
- CVE-2024-47464 (امتیاز CVSS: 6.8): آسیبپذیری پیمایش مسیر احراز هویت شده ،ایجاد دسترسی غیرمجاز از راه دور به فایلها
https://thehackernews.com/2024/11/hpe-issues-critical-security-patches.html