「HPE Networking Instant On」のアクセスポイントに深刻な脆弱性

Hewlett Packard Enterprise傘下のHPE Aruba Networking（旧Aruba Networks）が提供する「HPE Networking Instant On」のアクセスポイントに複数の脆弱性が明らかとなった。アップデートが提供されている。

同製品のファームウェア「3.2.0.1」および以下のバージョンに2件の脆弱性が明らかとなったもの。具体的には、機器に認証情報がハードコードされており、認証をバイパスして管理者権限を取得できる「CVE-2025-37103」が確認された。

あわせて認証済みのユーザーにより任意のコマンドが実行できるコマンドインジェクションの脆弱性「CVE-2025-37102」が判明している。

共通脆弱性評価システム「CVSSv3.1」のベーススコアは、「CVE-2025-37103」を「9.8」とし、重要度を4段階中もっとも高い「クリティカル（Critical）」と評価した。

また「CVE-2025-37102」については、CVSS基本値が「7.2」、重要度は1段階低い「高（High）」とレーティングされている。これら脆弱性はアクセスポイントのみ影響を受けるとしており、スイッチには影響がないという。

同社は、ファームウェア「3.2.1.0」にて脆弱性を修正。対象機器に対し、2025年6月30日の週より自動更新によりソフトウェアの配布を順次展開している。またウェブポータルで手動更新なども提供する可能性がある。

（Security NEXT - 2025/07/15 ） ツイート

PR

関連記事

「Apache Tika」のPDF解析に深刻な脆弱性 - 早急に対応を
露攻撃グループ、「Cisco IOS」旧脆弱性を悪用 - 制御システムにも関心
「Cisco IOS」脆弱性、公表から7年後も攻撃が継続
iPhoneやMacなどApple製品の脆弱性悪用に注意喚起 - 米当局
ホスティング管理ツール「Plesk Obsidian」に脆弱性 - アップデートで修正
「Docker Desktop」に深刻な脆弱性 - コンテナからAPIアクセスのおそれ
「iPhone」「iPad」にアップデート - ゼロデイ脆弱性を修正
Apple、「Mac」の脆弱性を修正 - 標的型攻撃に悪用か
分散トランザクション管理ツール「Apache Seata」に脆弱性
「Kubernetes」マルチテナント管理ツール「Capsule」に深刻な脆弱性