HPE hat Sicherheitswarnungen zu Schwachstellen in diversen Netzwerkger\u00e4ten der Aruba-Tochtermarke ver\u00f6ffentlicht. Angreifer k\u00f6nnen durch die Sicherheitslecks teils sogar Schadcode auf verwundbare Ger\u00e4te schleusen. Updates zum Abdichten der Sicherheitslecks stehen jedoch bereit.<\/p>\n
Die gravierenderen Sicherheitsl\u00fccken betreffen der ersten HPE-Sicherheitsmitteilung<\/a> zufolge Aruba Mobility Conductor, Controllers und Gateways mit AOS-10- und AOS-8-Betriebssystemen. Als potenzielle Auswirkungen listen die Autoren die Ausf\u00fchrung von beliebigem Code aus dem Netz, Ausf\u00fchrung beliebiger Befehle, das Herunterladen beliebiger Dateien, \u00c4nderungen belliebiger Dateien, Cross-Site-Scripting (XSS) und die unbefugte Ausf\u00fchrung beliebiger Befehle.<\/p>\n HPE Aruba: Hochriskante Sicherheitsl\u00fccken<\/p>\n Daf\u00fcr verantwortlich sind insgesamt vier Sicherheitsl\u00fccken. Durch das web-basierte Management-Interface lassen sich beliebige Dateien schreiben, wodurch authentifizierte Nutzer Code einschleusen und ausf\u00fchren lassen k\u00f6nnen (CVE-2025-27082, CVSS 7.2<\/strong>, Risiko „hoch<\/strong>„). Sie k\u00f6nnen darin zudem Befehle einschleusen (CVE-2025-27083, CVSS 7.2<\/strong>, Risko „hoch<\/strong>„). Das Captive-Portal der web-basierten Verwaltungsoberfl\u00e4che erm\u00f6glicht zudem Cross-Site-Scripting (CVE-2025-27084, CVSS 5.4<\/strong>, Risiko „mittel<\/strong>„). Angemeldete Nutzer k\u00f6nnen des Weiteren beliebige Dateien von verwundbaren Ger\u00e4ten herunterladen (CVE-2025-27085, CVSS 4.9<\/strong>, Risiko „mittel<\/strong>„).<\/p>\n HPE stellt die Firmware-Versionen 10.7.1.1, 10.4.1.7, 8.12.0.4 und 8.10.0.16 bereit, die die L\u00fccken stopfen. Es sind auch \u00e4ltere Versionszweige von den Schwachstellen betroffen, allerdings sind die am Support-Ende angelangt und erhalten keine Aktualisierungen mehr.<\/p>\n