A Hewlett-Packard Enterprise (HPE) biztonsági frissítéseket adott ki, amiben többek között a CVE-2025-37103 azonosítón nyomon követett kritikus sérülékenység is javításra került, amely az Instant On Access Point eszközöket érinti. A sérülékenység a maximális 10,0-ből 9,8-as CVSS értékelést kapott. A sebezhetőség kihasználásával a támadók megkerülhetik az autentikációt, illetve adminisztrátori hozzáférést szerezhetnek az érintett rendszerekhez.
A vállalat biztonsági közleményében kifejtette, hogy hardkódolt hitelesítő adatokat találtak a HPE Networking Instant On Access Point eszközökben, amelyek ismeretében bárki képes lehet megkerülni a normál eszközazonosítást. Sikeres kihasználás esetén egy távoli támadó adminisztrátori hozzáférést szerezhet a rendszerhez.
A HPE egy másik sérülékenységet is javított: egy hitelesített parancsinjektálási sebezhetőséget az Instant On Access Point eszközök parancssori felületén, melyet CVE-2025-37102 azonosítón követnek nyomon, CVSS értékelése pedig 7,2. A sebezhetőség kihasználása lehetővé teszi, hogy egy távoli támadó tetszőleges parancsokat hajtson végre az operációs rendszerben, privilegizált felhasználóként, miután emelt szintű jogosultságokhoz jutott.
A támadás során a CVE-2025-37103 és CVE-2025-37102 sérülékenységek összefűzésével exploit chain-t hozhatnak létre, ezáltal adminisztrátori hozzáférést szerezhetnek és rosszindulatú parancsokat injektálhatnak a parancssori interfészen keresztül további műveletek végrehajtásához.
A sérülékenységeket a HPE Networking Instant On 3.2.1.0 szoftververzióban javították.
A HPE közleményében azt is jelezte, hogy más eszközök, például a HPE Networking Instant On Switch nem érintett.
Annak ellenére, hogy jelenleg nincs bizonyíték a sérülékenységek aktív kihasználására vonatkozóan, a felhasználóknak javasolt mielőbb telepíteni a frissítéseket a lehetséges kockázatok csökkentése érdekében!
