هشدار HPE در مورد آسیب‌پذیری‌های حیاتی RCE (CVE-2024-42509، CVE-2024-47460) در نقاط دسترسی Aruba Networking

security news

شرکت Hewlett Packard (HPE) به‌روزرسانی‌های امنیتی را برای رفع آسیب‌پذیری‌های متعدد از جمله دو باگ حیاتی منتشر کرده است که بر محصولات نقطه دسترسی شبکه Aruba تأثیر می‌گذارند و می‌توانند منجر به اجرای دستور احراز هویت نشده شوند.

شدیدترین آسیب‌پذیری از میان شش آسیب‌پذیری جدید وصله‌ شده دو نقص حیاتی با شناسه‌های CVE-2024-42509 (امتیاز CVSS: 9.8) و CVE-2024-47460 (امتیاز CVSS: 9.0)، نقص تزریق دستور احراز هویت نشده در سرویس CLI هستند که می‌توانند منجر به اجرای کد دلخواه شوند. HPE در توصیه‌ای گفت: «آسیب‌پذیری تزریق فرمان در سرویس زیربنایی CLI می‌تواند با ارسال پکت‌های ساخته‌ شده مخصوص به پورت UDP PAPI (پروتکل مدیریت نقطه دسترسی Aruba) (8211) منجر به RCE غیرقابل تأیید شود. نقص‌ها بر نقاط دسترسی در حال اجرا Instant AOS-8 و AOS-10 تأثیر می‌گذارند:

  • Instant AOS-8.12.x.x: 8.12.0.2 و پایین‌تر
  • Instant AOS-8.10.x.x: 8.10.0.13 و پایین‌تر
  • AOS-10.4.x.x: 10.4.1.4 و پایین‌تر

 آسیب‌پذیری‌های دیگری که توسط HPE برطرف شده‌اند، به شرح زیر است:

  • CVE-2024-47461 (امتیاز CVSS: 7.2): آسیب‌پذیری اجرای فرمان دلخواه از راه دور (RCE) در Instant AOS-8 و AOS-10
  • CVE-2024-47462 و CVE-2024-47463 (امتیاز CVSS: 7.2): آسیب‌پذیری ایجاد فایل دلخواه در Instant AOS-8 و AOS-10
  • CVE-2024-47464 (امتیاز CVSS: 6.8): آسیب‌پذیری پیمایش مسیر احراز هویت شده ،ایجاد دسترسی غیرمجاز از راه دور به فایل‌ها

https://thehackernews.com/2024/11/hpe-issues-critical-security-patches.html