Zraniteľnosti zariadení Hewlett-Packard Enterprise Networking Instant On Access Point

Hewlett-Packard Enterprise (HPE) vydala bezpečnostné aktualizácie pre firmvér zariadení Networking Instant On Access Point, ktoré opravujú jednu kritickú a jednu vysoko závažnú zraniteľnosť. CVE‑2025‑37103 súvisí s napevno kódovanými prihlasovacími údajmi a CVE-2025-37102 umožňuje vykonávať systémové príkazy.

Zraniteľné systémy:

• zariadenia HPE Networking Instant On Access Point s firmvérom verzie 3.2.0.1 a staršími

Opis činnosti:

CVE-2025-37103 (CVSS skóre 9,8)

Napevno kódované prihlasovacie údaje umožňujú vzdialeným útočníkom získať administrátorský prístup k webovému rozhraniu zariadenia. Tým môžu meniť konfiguráciu, inštalovať zadné vrátka alebo odpočúvať sieť.

CVE-2025-37102 (CVSS skóre 7,2)

Zraniteľnosť umožňuje vzdialenému autentifikovanému útočníkovi injektovať ľubovoľné príkazy v konzole zraniteľného zariadenia a získať možnosť vykonávať príkazy na podkladovom systéme.

Možné škody:

• Obídenie bezpečnostných prvkov

Odporúčania:

Bezodkladná aktualizácia firmvéru zariadení HPE Networking Instant On Access Point aspoň na verziu 3.2.1.0.

Odkazy:

• https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbnw04894en_us&docLocale=en_US
• https://thehackernews.com/2025/07/hard-coded-credentials-found-in-hpe.html