Kompanija Hewlett-Packard Enterprise (HPE) objavila je sigurnosna ažuriranja kako bi riješila kritični sigurnosni propust koji utiče na Instant On Access Points, a koji bi mogao omogućiti napadaču da zaobiđe autentifikaciju i dobije administrativni pristup ranjivim sistemima.
Ranjivost, praćena kao CVE-2025-37103, nosi CVSS rezultat 9,8 od maksimalnih 10,0.
„U HPE Networking Instant On pristupnim tačkama pronađeni su fiksni kodirani podaci za prijavu, što je omogućavalo bilo kome ko ima znanje o njima da zaobiđe normalnu autentifikaciju uređaja“, saopštila je kompanija .
“Uspješna eksploatacija mogla bi omogućiti udaljenom napadaču da dobije administratorski pristup sistemu.”
HPE je takođe zakrpio grešku ubrizgavanja autentificirane komande u interfejsu komandne linije HPE Networking Instant On Access Points (CVE-2025-37102, CVSS rezultat: 7.2) koju udaljeni napadač može iskoristiti s povišenim dozvolama za pokretanje proizvoljnih komandi na osnovnom operativnom sistemu kao privilegovani korisnik.
To takođe znači da bi napadač mogao pretvoriti CVE-2025-37103 i CVE-2025-37102 u lanac iskorištavanja, što bi im omogućilo da dobiju administratorski pristup i ubace maliciozne naredbe u interfejs komandne linije za naknadne aktivnosti.
Kompanija je zahvalila ZZ-u iz Ubisectech Sirius tima za otkrivanje i prijavljivanje ova dva problema. Obje ranjivosti su riješene u HPE Networking Instant On softveru verzije 3.2.1.0 i novijim.
HPE je u svom savjetovanju takođe napomenuo da drugi uređaji, poput HPE Networking Instant On Switcheva, nisu pogođeni.
Iako nema dokaza da je bilo koja od grešaka aktivno iskorištena, korisnicima se savjetuje da što prije instaliraju ažuriranja kako bi ublažili potencijalne prijetnje.
Izvor:The Hacker News
