Múltiples vulnerabilidades en productos HPE Aruba Networking

19/09/2025 Noticias 0

Se han descubierto múltiples vulnerabilidades de severidad alta en productos HPE Aruba Networking. Estas podrían ser explotadas para lograr la ejecución arbitraria de comandos o provocar una denegación de servicio.

Productos afectados

  • Puertas de enlace HPE Aruba Networking EdgeConnect SD-WAN que utilicen:
  • HPE Aruba Networking EdgeConnect SD-WAN Release Stream 9.5.x.x: versiones 9.5.3.x y anteriores.
  • HPE Aruba Networking EdgeConnect SD-WAN Release Stream 9.4.x.x: versiones 9.4.3.x y anteriores.
  • HPE Aruba Networking EdgeConnect SD-WAN 9.2.x.x: todos los lanzamientos de esta versión están afectados y fuera de mantenimiento.
  • EdgeConnect OS (ECOS) 9.3.x.x fue declarado fuera de mantenimiento al 30 de junio de 2025. Todas sus versiones están afectadas.

Impacto

Las vulnerabilidades de mayor severidad se han identificado como:

CVE-2025-37123: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad en la línea de comandos de puertas de enlace HPE Aruba Networking EdgeConnect SD-WAN que podría permitir la elevación de privilegios. Un actor malicioso podría lograr la ejecución arbitraria de comandos del sistema con privilegios de root sobre el sistema operativo.

CVE-2025-37124: con una puntuación de 8.6 en CVSS v3.1. Existe una vulnerabilidad en las puertas de enlace HPE Aruba Networking SD-WAN que podría permitir la evasión de las protecciones del firewall. Un actor malicioso podría provocar una denegación de servicio.

CVE-2025-37125: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad en el control de acceso en HPE Aruba Networking EdgeConnect OS (ECOS) que podría permitir la evasión de las protecciones del firewall. Un actor malicioso podría provocar una denegación de servicio.

Recomendación

Actualizar a la última versión disponible a través del sitio web oficial del fabricante o migrar a una versión soportada.

Referencias

  • https://nvd.nist.gov/vuln/detail/CVE-2025-37123
  • https://nvd.nist.gov/vuln/detail/CVE-2025-37124
  • https://nvd.nist.gov/vuln/detail/CVE-2025-37125
  • https://nvd.nist.gov/vuln/detail/CVE-2025-37126
  • https://nvd.nist.gov/vuln/detail/CVE-2025-37127
  • https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbnw04943en_us&docLocale=en_US