HPE Aruba: Sicherheitspatches für Access Points und weitere Hardware

HPE hat Sicherheitswarnungen zu Schwachstellen in diversen Netzwerkgeräten der Aruba-Tochtermarke veröffentlicht. Angreifer können durch die Sicherheitslecks teils sogar Schadcode auf verwundbare Geräte schleusen. Updates zum Abdichten der Sicherheitslecks stehen jedoch bereit.

Die gravierenderen Sicherheitslücken betreffen der ersten HPE-Sicherheitsmitteilung zufolge Aruba Mobility Conductor, Controllers und Gateways mit AOS-10- und AOS-8-Betriebssystemen. Als potenzielle Auswirkungen listen die Autoren die Ausführung von beliebigem Code aus dem Netz, Ausführung beliebiger Befehle, das Herunterladen beliebiger Dateien, Änderungen belliebiger Dateien, Cross-Site-Scripting (XSS) und die unbefugte Ausführung beliebiger Befehle.

HPE Aruba: Hochriskante Sicherheitslücken

Dafür verantwortlich sind insgesamt vier Sicherheitslücken. Durch das web-basierte Management-Interface lassen sich beliebige Dateien schreiben, wodurch authentifizierte Nutzer Code einschleusen und ausführen lassen können (CVE-2025-27082, CVSS 7.2, Risiko „hoch„). Sie können darin zudem Befehle einschleusen (CVE-2025-27083, CVSS 7.2, Risko „hoch„). Das Captive-Portal der web-basierten Verwaltungsoberfläche ermöglicht zudem Cross-Site-Scripting (CVE-2025-27084, CVSS 5.4, Risiko „mittel„). Angemeldete Nutzer können des Weiteren beliebige Dateien von verwundbaren Geräten herunterladen (CVE-2025-27085, CVSS 4.9, Risiko „mittel„).

HPE stellt die Firmware-Versionen 10.7.1.1, 10.4.1.7, 8.12.0.4 und 8.10.0.16 bereit, die die Lücken stopfen. Es sind auch ältere Versionszweige von den Schwachstellen betroffen, allerdings sind die am Support-Ende angelangt und erhalten keine Aktualisierungen mehr.

Eine zweite Sicherheitsmitteilung behandelt Sicherheitslücken in HPE Aruba Access-Points. Auch hier können authentifizierte Angreifer aus dem Netz Befehle einschleusen, die ausgeführt werden (CVE-2025-27078, CVSS 6.5, Risiko „mittel„). Außerdem können sie beliebige Dateien auf den Geräten anlegen und so Schadcode aus dem Netz einschleusen und ausführen (CVE-2025-27079, CVSS 6.0, Risiko „mittel„). Die Firmware-Versionen AOS-10 10.7.0.2, 10.4.1.6 sowie AOS-8 Instant 8.12.0.4 und 8.10.0.16 und jeweils neuere bessern die sicherheitsrelevanten Fehler aus.

In der vergangenen Woche musste HPE sich um Sicherheitslücken im VPN von Aruba kümmern. Die Verbindungen mit dem HPE Aruba Networking Virtual Intranet Access Client ließen sich dadurch von Angreifern aufknacken.

(dmk)