Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en Access Points de HPE Aruba

Fecha de publicación 15/05/2024
Identificador
INCIBE-2024-0258
Importancia
5 - Crítica
Recursos Afectados

Las siguientes versiones de software de HPE Aruba Networking - Access Points con InstantOS y ArubaOS 10 están afectadas:

  • ArubaOS 10.5.x.x: versiones 10.5.1.0 y anteriores.
  • ArubaOS 10.4.x.x: versiones 10.4.1.0 y anteriores.
  • InstantOS 8.11.x.x: versiones 8.11.2.1 y anteriores.
  • InstantOS 8.10.x.x: versiones 8.10.0.10 y anteriores.
  • InstantOS 8.6.x.x: versiones 8.6.0.23 y anteriores.

Las siguientes versiones de software que han finalizado su mantenimiento también se ven afectadas por estas vulnerabilidades:

  • ArubaOS 10.3.x.x, todas las versiones.
  • InstantOS 8.9.x.x, todas las versiones.
  • InstantOS 8.8.x.x, todas las versiones.
  • InstantOS 8.7.x.x, todas las versiones.
  • InstantOS 8.5.x.x, todas las versiones.
  • InstantOS 8.4.x.x, todas las versiones.
  • InstantOS 6.5.x.x, todas las versiones.
  • InstantOS 6.4.x.x, todas las versiones.
Descripción

HPE ha publicado 18 vulnerabilidades: 8 de severidad crítica, 4 de severidad alta y 6 medias, que podrían dar lugar a un desbordamiento de búfer, inyección de comandos, eliminación arbitraria de archivos, provocar una condición de denegación de servicio (DoS) o una divulgación de información sensible.

Solución

HPE Aruba Networking ha lanzado parches para Access Points que abordan múltiples vulnerabilidades de seguridad.

Detalle

Las vulnerabilidades de severidad crítica son de tipo desbordamiento de búfer e inyección de comandos, y su explotación podría dar lugar a una ejecución de código no autenticado mediante el envío de paquetes especialmente diseñados.

Se han asignado los identificadores CVE-2024-31466, CVE-2024-31467, CVE-2024-31468, CVE-2024-31469, CVE-2024-31470, CVE-2024-31471, CVE-2024-31472 y CVE-2024-31473 para estas vulnerabilidades.

El resto de identificadores asignados para las vulnerabilidades de severidad no crítica pueden consultarse en las referencias.