شرکت Hewlett-Packard Enterprise (HPE) بهروزرسانیهای امنیتی را برای رفع یک نقص امنیتی حیاتی که بر نقاط دسترسی فوری تأثیر میگذارد، منتشر کرده است. این نقص میتواند به مهاجم اجازه دهد تا احراز هویت را دور بزند و به سیستمهای حساس دسترسی مدیریتی پیدا کند.
این آسیبپذیری که با شناسه CVE-2025-37103 ردیابی میشود، دارای امتیاز ۹٫۸ در CVSS از حداکثر ۱۰ است.
این شرکت در یک توصیهنامه اعلام کرد[۱]: «اعتبارنامههای ورود به سیستم کدگذاری شده در نقاط دسترسی فوری HPE Networking یافت شد که به هر کسی که از آن آگاه باشد، اجازه میدهد تا احراز هویت معمول دستگاه را دور بزند.»
«بهرهبرداری موفقیتآمیز میتواند به یک مهاجم از راه دور اجازه دهد تا به سیستم دسترسی مدیریتی پیدا کند.»
همچنین توسط HPE یک نقص تزریق دستور احراز هویت شده در رابط خط فرمان نقاط دسترسی فوری HPE Networking (CVE-2025-37102، امتیاز ۷٫۲ در CVSS) وصله شده است که یک مهاجم از راه دور میتواند با مجوزهای بالا از آن بهرهبرداری کند تا دستورات دلخواه را در سیستمعامل اصلی بهعنوان یک کاربر ممتاز اجرا کند.
این همچنین بدان معنی است که یک مهاجم میتواند CVE-2025-37103 و CVE-2025-37102 را در یک زنجیره بهرهبرداری قرار دهد و به آنها اجازه دهد دسترسی مدیریتی کسب کنند و دستورات مخرب را برای فعالیتهای بعدی به رابط خط فرمان تزریق کنند.
این شرکت از ZZ از تیم Sirius Ubisectech برای کشف و گزارش این دو مشکل قدردانی کرد. هر دو آسیبپذیری در نرمافزار HPE Networking Instant On نسخه ۳.۲.۱.۰ و بالاتر برطرف شدهاند.
HPE همچنین در توصیهنامه خود خاطرنشان کرد که سایر دستگاهها، مانند سوئیچهای HPE Networking Instant On، تحت تأثیر قرار نگرفتهاند.
درحالیکه هیچ مدرکی مبنی بر بهرهبرداری فعال از هیچ یک از این نقصها وجود ندارد، به کاربران توصیه میشود در اسرع وقت بهروزرسانیها را اعمال کنند تا تهدیدات احتمالی را کاهش دهند.
منابع[۱] https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbnw04894en_us&docLocale=en_US
[۲] https://thehackernews.com/2025/07/hard-coded-credentials-found-in-hpe.html
ثبت ديدگاه