Hewlett-Packard Enterprise (HPE) ha publicado una actualización de seguridad para abordar fallas de seguridad críticas que afectan el punto de acceso instantáneo donde los atacantes pueden evitar la autenticación y obtener acceso administrativo al sistema sensible.
La vulnerabilidad rastreada como CVE-2025-37103 tiene una puntuación CVSS de 9.8 de un máximo de 10.0.
«Se encontraron credenciales de inicio de sesión codificadas en el instante de redes HPE en el punto de acceso, lo que permite a cualquiera que lo sepa omitir la autenticación normal del dispositivo», dijo la compañía en su aviso.
«La explotación exitosa permite a los atacantes remotos obtener acceso administrativo al sistema».
También parcheado por HPE hay una falla de inyección de comando autenticada a la interfaz de línea de comandos instantáneas de red de HPE en el punto de acceso (CVE-2025-37102, puntaje CVSS: 7.2). Esto es que los atacantes remotos pueden explotar con privilegios avanzados para ejecutar comandos arbitrarios en cualquier sistema operativo con sistemas operativos avanzados.
Esto también significa que los atacantes pueden diseñar CVE-2025-37103 y CVE-2025-37102 en la cadena de exploit, obteniendo acceso administrativo e inyectar comandos maliciosos en la interfaz de la línea de comandos de la actividad de seguimiento.
La compañía elogió al ZZ del equipo de Ubisectech Sirius por descubrir e informar dos problemas. Ambas vulnerabilidades se resolvieron en HPE Network Instant Software versión 3.2.1.0 o superior.
HPE también señaló en su asesoramiento que otros dispositivos, como el instante de red de HPE en el interruptor, no se ven afectados.
Aunque no hay evidencia de que ninguno de los defectos esté bajo una explotación agresiva, se aconseja a los usuarios que apliquen actualizaciones lo antes posible para mitigar las posibles amenazas.
Source link
