HPE Aruba - CVE-2025-37184

Date de publication :

Il s'agit d'une vulnérabilité dans un service de l’Orchestrator EdgeConnect SD-WAN. 

HPE Aruba Networking EdgeConnect SD-WAN Orchestrator est une plateforme d’administration centralisée pour le pilotage et la supervision d’un environnement SD-WAN.

En raison d’un défaut d’authentification dans le traitement du processus de connexion, un attaquant distant non authentifié peut contourner les exigences d’authentification multifacteur et faire créer un compte administrateur sans passer par la validation MFA attendue.

CVE-2025-37184

[Score CVSS v3.1 : 9.8]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

Élévation de privilèges

Exploitation

La vulnérabilité exploitée est du type
CWE-287 : Improper Authentication

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Aucun
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

•   HPE Aruba Networking EdgeConnect SD-WAN Orchestrator versions 9.2.10 et antérieures, branche 9.2.x et antérieures en fin de maintenance.
•   HPE Aruba Networking EdgeConnect SD-WAN Orchestrator versions 9.3.x antérieures à 9.3.6, branche 9.3.x en fin de maintenance.
•   HPE Aruba Networking EdgeConnect SD-WAN Orchestrator versions 9.4.x antérieures à 9.4.3.
•   HPE Aruba Networking EdgeConnect SD-WAN Orchestrator versions 9.5.5 et antérieures.
•   HPE Aruba Networking EdgeConnect SD-WAN Orchestrator version 9.6.0.

Solutions ou recommandations

•   HPE Aruba Networking EdgeConnect SD-WAN Orchestrator versions 9.3.6 et supérieures pour cette CVE.
•   HPE Aruba Networking EdgeConnect SD-WAN Orchestrator versions 9.4.3 et supérieures pour cette CVE.
•   HPE Aruba Networking EdgeConnect SD-WAN Orchestrator versions 9.5.6 et supérieures.
•   HPE Aruba Networking EdgeConnect SD-WAN Orchestrator versions 9.6.1 et supérieures.
•   Aucun correctif n’est prévu pour les branches en fin de maintenance 9.2.x et antérieures.

Liens