HPE - CVE-2026-23813

Date de publication :

Il s’agit d’une vulnérabilité dans l’interface Web d’administration des commutateurs AOS-CX.

HPE Aruba Networking AOS-CX est le système d’exploitation réseau des commutateurs Aruba CX, utilisé pour l’administration, la configuration et l’exploitation de commutateurs d’entreprise via des interfaces de gestion, notamment une interface Web. 

Un acteur distant non authentifié peut contourner les contrôles d’authentification existants. Dans certains cas, le défaut peut aller jusqu’à la réinitialisation du mot de passe administrateur, ce qui compromet directement la barrière d’accès à l’interface de gestion et peut conduire à une prise de contrôle administrative de l’équipement.

CVE-2026-23813

[Score CVSS v3.1 : 9.8]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Oui

Risques

Contournement de la politique de sécurité

Exploitation

La vulnérabilité exploitée est du type
CWE-287 : Improper Authentication

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Aucun
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

•   AOS-CX 10.17.xxxx versions 10.17.0001 et antérieures
•   AOS-CX 10.16.xxxx versions 10.16.1020 et antérieures
•   AOS-CX 10.13.xxxx versions 10.13.1160 et antérieures
•   AOS-CX 10.10.xxxx versions 10.10.1170 et antérieures

Contournement provisoire

•   Restreindre l’accès à toutes les interfaces de gestion à un segment ou VLAN d’administration dédié
•   Mettre en place des politiques strictes de filtrage de niveau 3 et supérieur pour n’autoriser que des hôtes d’administration de confiance
•   Désactiver les interfaces HTTP(S) sur les SVI et ports routés lorsqu’un accès d’administration n’est pas nécessaire
•   Appliquer des ACL de plan de contrôle pour limiter l’accès aux interfaces de gestion REST/HTTP(S)
•   Activer la journalisation, la supervision et l’accounting des activités d’administration

Solutions ou recommandations

•   AOS-CX 10.17.xxxx versions 10.17.1001 et supérieures
•   AOS-CX 10.16.xxxx versions 10.16.1030 et supérieures
•   AOS-CX 10.13.xxxx versions 10.13.1161 et supérieures
•   AOS-CX 10.10.xxxx versions 10.10.1180 et supérieures

Liens