2026-0119: HPE Aruba Mobility Conductor, HPE Aruba Mobility Controllers, ArubaOS: Mehrere Schwachstellen ermöglichen u. a. einen Denial-of-Service-Angriff
Historie:
- Version 1 (2026-01-14 16:08)
- Neues Advisory
- Version 2 (2026-01-29 08:38)
- Der Hersteller hat den Sicherheitshinweis für die Schwachstellen CVE-2025-37178 und CVE-2025-37179 aktualisiert, die demnach noch nicht durch eine ArubaOS-Version behoben werden. Vielmehr wird zur Zeit an fehlerbereinigten Versionen gearbeitet und bis zur Fertigstellung bleibt als Mitigation nur ein Workaround,. Dieser Workaround besteht darin, den Zugriff auf die Verwaltung über die Kommandozeile oder die Web-Oberfläche durch Restriktionen auf Layer 2 (z.B. VLAN) oder Layer 3 und darüber (z.B. Firewall) zu beschränken. Zusätzlich sollen Konten kontrolliert und überwacht werden.
Betroffene Software
Systemsoftware
Betroffene Plattformen
Hardware
Aruba
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode mit den Rechten des Administrators auszuführen, beliebigen Programmcode mit den Rechten des betroffenen Dienstes auszuführen und Denial-of-Service (DoS)-Angriffe durchzuführen.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich.
Der Hersteller informiert über die Schwachstellen und empfiehlt zu deren Behebung ein Update auf ArubaOS 10.7.2.2, 10.4.1.10, 8.13.1.1, 8.10.0.21 oder höher.
Schwachstellen:
CVE-2025-37168
Schwachstelle in ArubaOS ermöglicht Denial-of-Service-AngriffCVE-2025-37169
Schwachstelle in ArubaOS ermöglicht Ausführen beliebigen Programmcodes mit AdministratorrechtenCVE-2025-37170 CVE-2025-37171 CVE-2025-37172
Schwachstellen in ArubaOS ermöglichen Ausführen beliebigen Programmcodes mit AdministratorrechtenCVE-2025-37173
Schwachstelle in ArubaOS ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2025-37174
Schwachstelle in ArubaOS ermöglicht u. a. Manipulation von DateienCVE-2025-37175
Schwachstelle in ArubaOS ermöglicht Ausführen beliebigen Programmcodes mit AdministratorrechtenCVE-2025-37176
Schwachstelle in ArubaOS ermöglicht Ausführen beliebigen Programmcodes mit den Rechten des DienstesCVE-2025-37177
Schwachstelle in ArubaOS ermöglicht Manipulation von DateienCVE-2025-37178 CVE-2025-37179
Schwachstellen in ArubaOS ermöglichen Denial-of-Service-Angriffe
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.