Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Exécution de code arbitraire à distance
- Injection de code indirecte à distance (XSS)
Systèmes affectés
- AOS-10 AP versions 10.4.x antérieures à 10.4.1.6
- AOS-10 AP versions 10.7.x antérieures à 10.7.0.2
- AOS-8 Instant versions 8.10.x antérieures à 8.10.0.16
- AOS-8 Instant versions 8.12.x antérieures à 8.12.0.4
L'éditeur indique que les versions AOS-10 AP 10.6.x, AOS-10 AP 10.5.x, AOS-10 AP 10.3.x, AOS-8 Instant 8.11.x, AOS-8 Instant 8.9.x, AOS-8 Instant 8.8.x, AOS-8 Instant 8.7.x, AOS-8 Instant 8.6.x, AOS-8 Instant 8.5.x, AOS-8 Instant 8.4.x, AOS Instant 6.5.x et AOS Instant 6.4.x sont affectées mais ne bénéficieront pas de correctifs de sécurité.
Résumé
De multiples vulnérabilités ont été découvertes dans les produits HPE Aruba Networking. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une atteinte à la confidentialité des données et une atteinte à l'intégrité des données.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité HPE Aruba Networking HPESBNW04844 du 08 avril 2025 https://csaf.arubanetworks.com/2025/hpe_aruba_networking_-_hpesbnw04844.txt
- Bulletin de sécurité HPE Aruba Networking HPESBNW04845 du 08 avril 2025 https://csaf.arubanetworks.com/2025/hpe_aruba_networking_-_hpesbnw04845.txt
- Référence CVE CVE-2025-27078 https://www.cve.org/CVERecord?id=CVE-2025-27078
- Référence CVE CVE-2025-27079 https://www.cve.org/CVERecord?id=CVE-2025-27079
- Référence CVE CVE-2025-27082 https://www.cve.org/CVERecord?id=CVE-2025-27082
- Référence CVE CVE-2025-27083 https://www.cve.org/CVERecord?id=CVE-2025-27083
- Référence CVE CVE-2025-27084 https://www.cve.org/CVERecord?id=CVE-2025-27084
- Référence CVE CVE-2025-27085 https://www.cve.org/CVERecord?id=CVE-2025-27085
