HPE Aruba製アクセスポイントに複数のRCE脆弱性 - アップデートを
Hewlett Packard Enterprise傘下のHPE Aruba Networking(旧Aruba Networks)が提供するアクセスポイントに複数の深刻な脆弱性が明らかとなった。脆弱性を解消するアップデートが提供されている。
HPEでは、現地時間9月24日にアドバイザリを公開し、「Instant AOS-8」および「AOS-10」が稼働するアクセスポイントが影響を受けるコマンドインジェクションの脆弱性について明らかにしたもの。
アクセスポイントの管理に用いる「PAPIプロトコル」を用いてコマンドラインインタフェースへアクセスできる場合、認証を必要とすることなくコマンドの実行が可能となる脆弱性「CVE-2024-42505」「CVE-2024-42506」「CVE-2024-42507」が判明した。
脆弱性を悪用すると、OS上で特権ユーザーとして任意のコードを実行することが可能になるという。
共通脆弱性評価システム「CVSSv3.1」のベーススコアは、いずれも「9.8」と評価されており、重要度は「クリティカル(Critical)」とレーティングされている。
同社は、脆弱性を修正した「AOS-10.7.0.0」「同10.6.0.3」「同10.4.1.4」「Instant AOS-8.12.0.2」「同8.10.0.14」をリリース。できるだけ早急に対処するよう求めている。
(Security NEXT - 2024/09/27 )
ツイート
PR
関連記事
「Exim」に複数脆弱性 - 「クリティカル」との評価も
「pgAdmin 4」に複数脆弱性 - 認証情報漏洩や任意コマンド実行のおそれ
オブジェクトストレージ「Dell ECS」「ObjectScale」に深刻な脆弱性
JetBrains「TeamCity」にAPI露出の脆弱性 - ゲストも悪用可能
アルバイト応募者情報が流出、従業員SNS投稿で - 餃子専門店
住民税納付を装う架空請求メール - PayPay送金へ誘導
画像診断委託先でクラウド設定ミス、患者情報が閲覧可能に - マツダ病院
3R宣言事業者向けのメールで誤送信 - 岡山県
「Apache MINA」の深刻な脆弱性 - 複数ブランチで修正未反映
「BerriAI LiteLLM」にSQLi脆弱性 - 認証情報漏洩のおそれ、悪用も
