概要

HPE Aruba Networkingは、Private 5G Core Platformで複数の脆弱性を発見し、その影響により攻撃者が非認証管理者アカウントを作成したり、サービスを停止させたりする可能性があると警告しています。

脆弱性詳細

CVE-2026-23595からCVE-2026-23598までの4つの脆弱性が報告されています。これらの脆弱性は、Communications Security Establishment (CSE)によって発見され、バージョン1.24.3.0から1.24.3.3のプラットフォームに影響を及ぼします。

最も深刻な脆弱性

CVE-2026-23595は、CVSSスケールで8.8と評価され、アプリケーションAPIにおける認証バイパスの脆弱性を指摘しています。この脆弱性により、非認証リモート攻撃者が特権ユーザーのアカウントを作成することが可能となります。

その他の脆弱性

• CVE-2026-23596: 管理APIにおける不適切なアクセス制御により、サービスの再起動を引き起こす可能性があります。
• CVE-2026-23597: APIエラーハンドリングを通じてユーザー情報やシステム構成詳細が漏洩する可能性があります。
• CVE-2026-23598: 内部サービスやワークフロー、機密データの暴露を引き起こす可能性があります。

対策とアップデート

HPEは、脆弱性のあるバージョンを使用している組織に対して、直ちにバージョン1.25.1.0以上のアップグレードを行うことを強く推奨しています。これらの脆弱性に対するパッチはHPE Enterprise License portalから入手可能です。

元記事: https://gbhackers.com/hpe-aruba-flaw-exposes-networking-devices/