HPE Aruba Networking ha lanzado una actualización de software para los puntos de acceso Instant On de HPE Networking que aborda vulnerabilidades de seguridad que podrían permitir a un actor malicioso eludir la autenticación normal del dispositivo y acceder a la interfaz web.
Productos afectados
- HPE Networking Instant On Access Points que ejecutan la versión de software 3.2.0.1 y anteriores.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2025-37103: con una puntuación de 9.8 en CVSS v3.1. Existe una vulnerabilidad de credenciales de inicio de sesión codificadas de forma rígida en los puntos de acceso HPE Networking Instant On, lo que podría permitir a un actor malicioso eludir la autenticación normal del dispositivo.
CVE-2025-37102: con una puntuación de 7.2 en CVSS v3.1. Existe una vulnerabilidad de inyección de comandos autenticados en la interfaz de línea de comandos de los puntos de acceso HPE Networking Instant On. Esta podría permitir que un actor malicioso remoto con privilegios elevados ejecute comandos arbitrarios en el sistema operativo subyacente como un usuario con privilegios elevados.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbnw04894en_us&docLocale=en_US
- https://nvd.nist.gov/vuln/detail/CVE-2025-37103
- https://nvd.nist.gov/vuln/detail/CVE-2025-37102