Vulnerabilidades en productos HPE

27/11/2025 Noticias 0

Se han descubierto vulnerabilidades de severidad crítica y alta en productos HPE Aruba Networking. Un actor malicioso podría ejecutar código arbitrario de forma remota, escalar privilegios o causar la divulgación de información sensible.

Productos afectados

  • HPE Aruba Networking Management Software (AirWave): versiones 8.3.0.4 y anteriores
  • HPE Aruba Networking AOS-CX 10.16: versiones 10.16.1000 y anteriores
  • HPE Aruba Networking AOS-CX 10.15: versiones 10.15.1020 y anteriores
  • HPE Aruba Networking AOS-CX 10.14: versiones 10.14.1050 y anteriores
  • HPE Aruba Networking AOS-CX 10.13: versiones 10.13.1090 y anteriores
  • HPE Aruba Networking AOS-CX 10.10: versiones 10.10.1160 y anteriores

Impacto

Las vulnerabilidades de mayor severidad se han identificado como:

CVE-202412084: con una puntuación de 9.8 en CVSS v3.1. Existe una vulnerabilidad de desbordamiento de búfer basado en montículo (heap-based buffer overflow) en el demonio rsync utilizado por la plataforma AirWave. Un actor malicioso remoto no autenticado podría aprovechar esta vulnerabilidad para ejecutar código arbitrario con privilegios elevados.

CVE-202537155: con una puntuación de 7.8 en CVSS v3.1. Existe una vulnerabilidad de control de acceso incorrecto en la interfaz de shell restringida SSH de los servicios de administración de red en AOS-CX. Un actor malicioso autenticado con privilegios de solo lectura podría escalar privilegios y obtener acceso de administrador en el sistema afectado.

CVE-202537163: con una puntuación de 7.2 en CVSS v3.1. Existe una vulnerabilidad de inyección de comandos en la interfaz de línea de comandos (CLI) de HPE Aruba Networking AirWave. Un actor malicioso autenticado podría ejecutar comandos arbitrarios del sistema operativo con privilegios elevados.

Recomendación

Actualizar a la última versión disponible a través del sitio web oficial del fabricante.

Referencias

  • https://www.cve.org/CVERecord?id=CVE-2024-12084
  • https://www.cve.org/CVERecord?id=CVE-2025-37155
  • https://www.cve.org/CVERecord?id=CVE-2025-37163
  • https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbnw04971en_us
  • https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbnw04888en_us
  • https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbnw04970en_us