top of page
Buscar

Credenciais Hard-Coded permitem acesso administrativo em dispositivos HPE Instant On

  • Foto do escritor: Orlando Santos Cyber Security Brazil
    Orlando Santos Cyber Security Brazil
  • 21 de jul.
  • 2 min de leitura

ree

A Hewlett-Packard Enterprise (HPE) lançou recentemente atualizações de segurança cruciais para corrigir uma falha crítica que afeta seus Access Points Instant On. Essa vulnerabilidade pode permitir que um hacker bypassar a autenticação normal e obter acesso administrativo a sistemas suscetíveis.


A falha, identificada como CVE-2025-37103, possui uma pontuação CVSS de 9.8 em um máximo de 10.0, indicando sua extrema gravidade.


"Credenciais de login Hard-Coded foram encontradas nos Access Points HPE Networking Instant On, permitindo que qualquer pessoa com conhecimento delas bypassasse a autenticação normal do dispositivo", afirmou a empresa em um comunicado oficial. "Uma exploração bem-sucedida poderia permitir que um invasor remoto obtivesse acesso administrativo ao sistema."


Além da CVE-2025-37103, a HPE também corrigiu uma falha de injeção de comando autenticada na interface de linha de comando dos mesmos dispositivos HPE Networking Instant On Access Points (CVE-2025-37102, com pontuação CVSS de 7.2).


Essa vulnerabilidade poderia ser explorada por um invasor remoto com permissões elevadas para executar comandos arbitrários no sistema operacional subjacente como um usuário privilegiado.


Isso significa que um hacker poderia encadear as vulnerabilidades CVE-2025-37103 e CVE-2025-37102. Ao fazê-lo, ele conseguiria não apenas obter acesso administrativo, mas também injetar comandos maliciosos na interface de linha de comando para atividades subsequentes, como a instalação de malware ou a exfiltração de dados.


A empresa creditou a ZZ, da equipe Ubisectech Sirius, pela descoberta e notificação das duas questões de segurança. Ambas as vulnerabilidades foram resolvidas na versão de software HPE Networking Instant On 3.2.1.0 e superior.


A HPE também destacou em seu comunicado que outros dispositivos, como os HPE Networking Instant On Switches, não são afetados por essas falhas.


Embora não haja evidências de que nenhuma das falhas tenha sido ativamente explorada até o momento, a HPE recomenda que os usuários apliquem as atualizações o mais rápido possível para mitigar quaisquer ameaças potenciais e proteger seus sistemas contra possíveis ataques.


Via - THN

 
 
 

Comentários

bottom of page