Une gestion de version détaillée se trouve à la fin de ce document.
Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Exécution de code arbitraire à distance
- Injection de code indirecte à distance (XSS)
Systèmes affectés
- AOS-10 AP versions 10.4.x antérieures à 10.4.1.6
- AOS-10 AP versions 10.7.x antérieures à 10.7.0.2
- AOS-8 Instant versions 8.10.x antérieures à 8.12.0.4
- AOS-8 Instant versions 8.12.x antérieures à 8.10.0.16
L'éditeur indique que les versions AOS-10 AP 10.6.x, AOS-10 AP 10.5.x, AOS-10 AP 10.3.x, AOS-8 Instant 8.11.x, AOS-8 Instant 8.9.x, AOS-8 Instant 8.8.x, AOS-8 Instant 8.7.x, AOS-8 Instant 8.6.x, AOS-8 Instant 8.5.x, AOS-8 Instant 8.4.x, AOS Instant 6.5.x et AOS Instant 6.4.x sont affectées mais ne bénéficieront pas de correctifs de sécurité.
Résumé
De multiples vulnérabilités ont été découvertes dans les produits HPE Aruba Networking. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une atteinte à la confidentialité des données et une atteinte à l'intégrité des données.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité HPE Aruba Networking HPESBNW04844 du 08 avril 2025
- Bulletin de sécurité HPE Aruba Networking HPESBNW04845 du 08 avril 2025
- Référence CVE CVE-2025-27078
- Référence CVE CVE-2025-27079
- Référence CVE CVE-2025-27082
- Référence CVE CVE-2025-27083
- Référence CVE CVE-2025-27084
- Référence CVE CVE-2025-27085
