Múltiples vulnerabilidades en Access Points de HPE Aruba
Las siguientes versiones de software de HPE Aruba Networking - Access Points con InstantOS y ArubaOS 10 están afectadas:
- ArubaOS 10.5.x.x: versiones 10.5.1.0 y anteriores.
- ArubaOS 10.4.x.x: versiones 10.4.1.0 y anteriores.
- InstantOS 8.11.x.x: versiones 8.11.2.1 y anteriores.
- InstantOS 8.10.x.x: versiones 8.10.0.10 y anteriores.
- InstantOS 8.6.x.x: versiones 8.6.0.23 y anteriores.
Las siguientes versiones de software que han finalizado su mantenimiento también se ven afectadas por estas vulnerabilidades:
- ArubaOS 10.3.x.x, todas las versiones.
- InstantOS 8.9.x.x, todas las versiones.
- InstantOS 8.8.x.x, todas las versiones.
- InstantOS 8.7.x.x, todas las versiones.
- InstantOS 8.5.x.x, todas las versiones.
- InstantOS 8.4.x.x, todas las versiones.
- InstantOS 6.5.x.x, todas las versiones.
- InstantOS 6.4.x.x, todas las versiones.
HPE ha publicado 18 vulnerabilidades: 8 de severidad crítica, 4 de severidad alta y 6 medias, que podrían dar lugar a un desbordamiento de búfer, inyección de comandos, eliminación arbitraria de archivos, provocar una condición de denegación de servicio (DoS) o una divulgación de información sensible.
HPE Aruba Networking ha lanzado parches para Access Points que abordan múltiples vulnerabilidades de seguridad.
Las vulnerabilidades de severidad crítica son de tipo desbordamiento de búfer e inyección de comandos, y su explotación podría dar lugar a una ejecución de código no autenticado mediante el envío de paquetes especialmente diseñados.
Se han asignado los identificadores CVE-2024-31466, CVE-2024-31467, CVE-2024-31468, CVE-2024-31469, CVE-2024-31470, CVE-2024-31471, CVE-2024-31472 y CVE-2024-31473 para estas vulnerabilidades.
El resto de identificadores asignados para las vulnerabilidades de severidad no crítica pueden consultarse en las referencias.
