HPE Aruba製アクセスポイントに複数のRCE脆弱性 - アップデートを
Hewlett Packard Enterprise傘下のHPE Aruba Networking(旧Aruba Networks)が提供するアクセスポイントに複数の深刻な脆弱性が明らかとなった。脆弱性を解消するアップデートが提供されている。
HPEでは、現地時間9月24日にアドバイザリを公開し、「Instant AOS-8」および「AOS-10」が稼働するアクセスポイントが影響を受けるコマンドインジェクションの脆弱性について明らかにしたもの。
アクセスポイントの管理に用いる「PAPIプロトコル」を用いてコマンドラインインタフェースへアクセスできる場合、認証を必要とすることなくコマンドの実行が可能となる脆弱性「CVE-2024-42505」「CVE-2024-42506」「CVE-2024-42507」が判明した。
脆弱性を悪用すると、OS上で特権ユーザーとして任意のコードを実行することが可能になるという。
共通脆弱性評価システム「CVSSv3.1」のベーススコアは、いずれも「9.8」と評価されており、重要度は「クリティカル(Critical)」とレーティングされている。
同社は、脆弱性を修正した「AOS-10.7.0.0」「同10.6.0.3」「同10.4.1.4」「Instant AOS-8.12.0.2」「同8.10.0.14」をリリース。できるだけ早急に対処するよう求めている。
(Security NEXT - 2024/09/27 )
ツイート
PR
関連記事
「iOS」「iPadOS」に「VoiceOver」でパスワード漏洩のおそれ
「MS Edge」のアップデートが公開 - 脆弱性3件を修正
【特別企画】有識者や実務者が「JPAAWG」に集結 - 最新脅威動向や対策ノウハウを共有
Cisco、セキュリティアドバイザリ14件を公開 - 一部製品はEOLで修正なし
制度登録企業宛のメールで誤送信、メアド約1500件が流出 - 新潟県
統計調査員が個人情報含む調査関係書類を紛失 - 大阪府
米当局、「Zimbra」狙う攻撃に注意喚起 - メール「CC」に不正コード
企業情報をメール誤送信、添付ファイル分離で一部影響を軽減 - 島根県
WAFの「SiteGuardシリーズ」にマネージドライセンス - EGセキュア
IoT製品のセキュ評価制度「JC-STAR」 - 4レベルで認証、取消もあり