Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Déni de service à distance
- Exécution de code arbitraire à distance
- Injection de code indirecte à distance (XSS)
- Injection SQL (SQLi)
Systèmes affectés
- ArubaOS versions 10.4.x antérieures à 10.4.1.9
- ArubaOS versions 10.7.x antérieures à 10.7.2.2
- ArubaOS versions 8.10.x antérieures à 8.10.0.21
- ArubaOS versions 8.13.x antérieures à 8.13.1.1
- EdgeConnect SD-WAN Orchestrator versions antérieures à 9.5.6
- EdgeConnect SD-WAN Orchestrator versions antérieures à 9.6.1
- Instant On versions antérieures à 3.3.2.0
- Virtual Intranet Access (VIA) versions antérieures à 4.7.6
L’éditeur précise que les versions ArubaOS 6.5.4.x, 8.6.x, 8.7.x, 8.8.x, 8.9.x, 8.11.x, 8.12.x 10.3.x, 10.5.x, 10.6.x et SD-WAN 8.6.0.4-2.2.x, 8.7.0.0-2.3.0.x sont en fin de maintenance (EoM) et ne bénéficient plus de mises à jour de sécurité.
Résumé
De multiples vulnérabilités ont été découvertes dans les produits HPE Aruba Networking. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à la confidentialité des données.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité HPE Aruba Networking HPESBNW04987 du 13 janvier 2026 https://csaf.arubanetworks.com/2026/hpe_aruba_networking_-_hpesbnw04987.txt
- Bulletin de sécurité HPE Aruba Networking HPESBNW04988 du 13 janvier 2026 https://csaf.arubanetworks.com/2026/hpe_aruba_networking_-_hpesbnw04988.txt
- Bulletin de sécurité HPE Aruba Networking HPESBNW04992 du 13 janvier 2026 https://csaf.arubanetworks.com/2026/hpe_aruba_networking_-_hpesbnw04992.txt
- Bulletin de sécurité HPE Aruba Networking HPESBNW04994 du 13 janvier 2026 https://csaf.arubanetworks.com/2026/hpe_aruba_networking_-_hpesbnw04994.txt
- Référence CVE CVE-2022-48839 https://www.cve.org/CVERecord?id=CVE-2022-48839
- Référence CVE CVE-2023-52340 https://www.cve.org/CVERecord?id=CVE-2023-52340
- Référence CVE CVE-2025-37165 https://www.cve.org/CVERecord?id=CVE-2025-37165
- Référence CVE CVE-2025-37166 https://www.cve.org/CVERecord?id=CVE-2025-37166
- Référence CVE CVE-2025-37168 https://www.cve.org/CVERecord?id=CVE-2025-37168
- Référence CVE CVE-2025-37169 https://www.cve.org/CVERecord?id=CVE-2025-37169
- Référence CVE CVE-2025-37170 https://www.cve.org/CVERecord?id=CVE-2025-37170
- Référence CVE CVE-2025-37171 https://www.cve.org/CVERecord?id=CVE-2025-37171
- Référence CVE CVE-2025-37172 https://www.cve.org/CVERecord?id=CVE-2025-37172
- Référence CVE CVE-2025-37173 https://www.cve.org/CVERecord?id=CVE-2025-37173
- Référence CVE CVE-2025-37174 https://www.cve.org/CVERecord?id=CVE-2025-37174
- Référence CVE CVE-2025-37175 https://www.cve.org/CVERecord?id=CVE-2025-37175
- Référence CVE CVE-2025-37176 https://www.cve.org/CVERecord?id=CVE-2025-37176
- Référence CVE CVE-2025-37177 https://www.cve.org/CVERecord?id=CVE-2025-37177
- Référence CVE CVE-2025-37178 https://www.cve.org/CVERecord?id=CVE-2025-37178
- Référence CVE CVE-2025-37179 https://www.cve.org/CVERecord?id=CVE-2025-37179
- Référence CVE CVE-2025-37186 https://www.cve.org/CVERecord?id=CVE-2025-37186
- Référence CVE CVE-2026-37182 https://www.cve.org/CVERecord?id=CVE-2026-37182
- Référence CVE CVE-2026-37183 https://www.cve.org/CVERecord?id=CVE-2026-37183
- Référence CVE CVE-2026-37184 https://www.cve.org/CVERecord?id=CVE-2026-37184
- Référence CVE CVE-2026-37185 https://www.cve.org/CVERecord?id=CVE-2026-37185
