HPE公布網路設備作業系統ArubaOS高風險漏洞

1月14日HPE Aruba Networking發布資安公告，指出他們旗下的網路設備作業系統ArubaOS（AOS）存在高風險漏洞CVE-2025-23051、CVE-2025-23052，一旦遭到利用，攻擊者有機會遠端執行任何程式碼（RCE）或命令、竄改任何檔案，或是未經授權的資料注入，影響Mobility Conductor、Mobility Controller，以及由HPE Aruba Networking Central雲端平臺管理的WLAN設備和SD-WAN閘道。

這兩個弱點分別可被遠端用於執行各種程式碼，或是發動命令注入攻擊，共同點是攻擊者都必須通過身分驗證才能利用，危險程度都被評為7.2分，影響執行AOS-10.4.1.4、AOS-8.12.0.2、AOS-8.10.0.14以下版本作業系統的網路設備，該公司已發布新版修補。

其中，CVE-2025-23051存在網頁管理介面，屬於通過身分驗證的參數注入弱點。一旦攻擊者成功利用，攻擊者就有機會藉由參數注入來覆寫任意系統檔案。

第二個漏洞CVE-2025-23052則與命令列介面（CLI）有關，為命令注入弱點，一旦攻擊者成功利用，就有機會以特殊權限於作業系統底層執行任意命令。

對此，HPE呼籲用戶儘速套用更新，若是無法即時修補的用戶，該公司也提出了緩解措施，用戶應透過防火牆政策或是網路第2層的隔離措施，來限縮存取網頁管理介面及CLI的管道。