Se han descubierto vulnerabilidades de severidad crítica y alta en el sistema operativo AOS-CX de HPE Aruba Networking. Un actor malicioso remoto podría eludir los mecanismos de autenticación, restablecer credenciales de administración o lograr la ejecución de comandos arbitrarios en el sistema operativo subyacente.
Productos afectados
- AOS-CX 10.17.x (versión 10.17.0001 y versiones anteriores).
- AOS-CX 10.16.x (versión 10.16.1020 y versiones anteriores).
- AOS-CX 10.13.x (versión 10.13.1160 y versiones anteriores).
- AOS-CX 10.10.x (versión 10.10.1170 y versiones anteriores).
- Versiones de software AOS-CX que actualmente no cuentan con soporte oficial.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2026-23813: con una puntuación de 9.8 en CVSS v3.1. Existe una vulnerabilidad en la interfaz de gestión web. Un actor malicioso remoto no autenticado podría eludir los controles de autenticación existentes, lo que permitiría, en ciertos escenarios, el restablecimiento de la contraseña del administrador.
CVE-2026-23814: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad en los parámetros de ciertos comandos de la interfaz de línea de comandos. Un actor malicioso remoto autenticado con bajos privilegios podría inyectar comandos maliciosos para alterar el comportamiento del sistema.
CVE-2026-23816: con una puntuación de 7.2 en CVSS v3.1. Existe una vulnerabilidad en la interfaz de línea de comandos. Un actor malicioso remoto autenticado podría ejecutar comandos arbitrarios en el sistema operativo subyacente de los conmutadores afectados.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias