HPE Aruba製アクセスポイントに複数脆弱性 - 「クリティカル」も
Hewlett Packard Enterprise傘下のHPE Aruba Networking(旧Aruba Networks)が提供するアクセスポイントに複数の深刻な脆弱性が判明した。脆弱性を修正したアップデートが提供されている。
現地時間11月5日にセキュリティアドバイザリを公表し、CVEベースで6件の脆弱性を明らかにした。アドバイザリの重要度を、4段階中もっとも高い「クリティカル(Critical)」としている。
なかでも、コマンドラインにおいてArubaのアクセス管理プロトコル「PAPI」の処理に判明したコマンドインジェクションの脆弱性「CVE-2024-42509」については、認証なしにリモートから任意のコマンドを実行でき、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」と評価した。
同じく「PAPI」の処理に明らかとなったコマンドインジェクション「CVE-2024-47460」についても、CVSS基本値が「9.0」で続いており、個別の評価においても、「クリティカル(Critical)」とレーティングしている。
このほか、認証が必要となるが「Instant AOS-8」および「AOS-10」に判明したリモートよりコマンドの実行が可能となる「CVE-2024-47461」や、ファイル作成が可能となる「CVE-2024-47462」「CVE-2024-47463」、パストラバーサルの脆弱性「CVE-2024-47464」などに対処した。
同社は脆弱性を修正した「AOS-10.7.0.0」「同10.4.1.5」「同8.12.0.3」「同8.10.0.14」を提供しており、これらバージョン以降へアップデートするよう呼びかけている。
(Security NEXT - 2024/11/08 )
ツイート
PR
関連記事
深刻な「React」脆弱性、米当局が悪用に注意呼びかけ
先週注目された記事(2025年11月30日〜2025年12月6日)
解析ライブラリ「Apache Tika」に深刻なXXE脆弱性 - コア部分も更新を
「React」脆弱性、実証コード公開 - 悪用リスクが上昇
サイバー攻撃で顧客管理システムのPWが流出 - 車検チェーン店
放課後児童クラブでメール誤送信 - 個人情報印刷時に第三者へ
5支店で個人情報含む伝票を紛失、誤廃棄の可能性 - 興能信金
サポート詐欺で遠隔操作ツールをインストール - 和歌山の休日診療所
「GitLab」に複数の脆弱性 - アップデートで修正
2026年1月開催の「JSAC2026」、参加登録がスタート
