HPE Arubaの無線LAN変換ブリッジに脆弱性 - PoC公開済み

Hewlett Packard Enterprise傘下のHPE Aruba Networking（旧Aruba Networks）が提供する無線LAN変換ブリッジに複数の脆弱性が判明した。

現地時間2025年1月7日にセキュリティアドバイザリを公開し、有線LAN機器を無線LANへ接続する無線LANブリッジ製品「501 Wireless Client Bridge」に関する2件の脆弱性について明らかにしたもの。

ウェブインターフェースにOSコマンドインジェクションの脆弱性「CVE-2024-54006」「CVE-2024-54007」が判明した。悪用には認証が必要となるが、任意のコマンドが実行できる。

共通脆弱性評価システム「CVSSv3.1」のベーススコアは、いずれも「7.2」と評価されており、重要度は「高（High）」とレーティングされている。

同社セキュリティチームや外部セキュリティ研究者が発見、報告した。すでに発見した外部報告者によって概念実証コード（PoC）が公開されている。

同社は脆弱性を修正したファームウェア「V2.1.2.0-B0033」を公開しており、同バージョン以降へアップデートするよう推奨している。あわせてリスクを軽減するため、管理インターフェースを専用のVLANに制限するなど緩和策の実施を呼びかけている。

（Security NEXT - 2025/01/10 ）ツイート