HPE修補Aruba無線路由器的密碼寫死漏洞

Hewlett Packard Enterprise（HPE）旗下的Aruba Networking上周修補了Instant On無線路由器的兩項資安漏洞：CVE-2025-37103與CVE-2025-37102。

其中，CVE-2025-37103起因於路由器韌體中硬編碼（寫死）的登入憑證，使得任何知情的攻擊者都能繞過正常身分驗證機制，遠端取得系統的管理員權限，是個CVSS v3.1風險評分高達9.8的重大漏洞。

另一個CVE-2025-37102則是命令列介面（CLI）中的驗證後命令注入漏洞，允許已取得管理員權限的攻擊者，在CLI中執行任意系統指令，進而控制設備。該漏洞的CVSS評分為7.2，屬於高風險等級。這也意味著攻擊者可先透過前者取得管理權限，再利用後者進行深度滲透攻擊。

這兩項漏洞皆由Ubisectech Sirius團隊的研究員ZZ所發現，並透過 HPE Aruba的漏洞懸賞計畫回報。截至公告發布時，HPE尚未發現有關這兩個漏洞的公開討論或攻擊程式碼。

需要注意的是，這些漏洞僅影響Instant On無線路由器，並未影響同系列的Aruba Instant On交換器。

HPE已釋出新版韌體3.2.1.0來修補漏洞。Instant On裝置自6月30日當周起已開始自動更新，用戶也可透過Instant On App 或Web入口手動啟動升級。