HPE Aruba製アクセスポイントに複数脆弱性 - 「クリティカル」も
Hewlett Packard Enterprise傘下のHPE Aruba Networking(旧Aruba Networks)が提供するアクセスポイントに複数の深刻な脆弱性が判明した。脆弱性を修正したアップデートが提供されている。
現地時間11月5日にセキュリティアドバイザリを公表し、CVEベースで6件の脆弱性を明らかにした。アドバイザリの重要度を、4段階中もっとも高い「クリティカル(Critical)」としている。
なかでも、コマンドラインにおいてArubaのアクセス管理プロトコル「PAPI」の処理に判明したコマンドインジェクションの脆弱性「CVE-2024-42509」については、認証なしにリモートから任意のコマンドを実行でき、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」と評価した。
同じく「PAPI」の処理に明らかとなったコマンドインジェクション「CVE-2024-47460」についても、CVSS基本値が「9.0」で続いており、個別の評価においても、「クリティカル(Critical)」とレーティングしている。
このほか、認証が必要となるが「Instant AOS-8」および「AOS-10」に判明したリモートよりコマンドの実行が可能となる「CVE-2024-47461」や、ファイル作成が可能となる「CVE-2024-47462」「CVE-2024-47463」、パストラバーサルの脆弱性「CVE-2024-47464」などに対処した。
同社は脆弱性を修正した「AOS-10.7.0.0」「同10.4.1.5」「同8.12.0.3」「同8.10.0.14」を提供しており、これらバージョン以降へアップデートするよう呼びかけている。
(Security NEXT - 2024/11/08 )
ツイート
PR
関連記事
廃棄PCや内蔵SSDが所在不明、内部に個人情報 - JR仙台病院
複数企業向けの同報メールで誤送信、件名にメアド - 佐賀県
再々委託先で記録媒体が所在不明、顧客情報含む可能性 - みずほ銀
ゼロデイ攻撃による「Cisco SD-WAN」侵害を確認 - 米当局が緊急指令
UIライブラリ「Swiper」に深刻な脆弱性 - 利用アプリは注意
ウェブメール「Roundcube」の脆弱性2件が攻撃の標的に
フィッシングサイトの撲滅競技 - 2週間で2828件をテイクダウン
第三者がファイル共有サーバにアクセス、情報流出の可能性 - 道路工業
元従業員が社外秘メールを社外関係者へ無断転送 - 日販グループHD
オブジェクトストレージ「RustFS」にXSS脆弱性 - 乗っ取りのおそれも
