HPE修補影響HPE Networking Instant On無線基地臺與1930系列交換器的多項高風險漏洞。這些漏洞影響執行3.3.1.0(含)以前韌體版本的設備,可能導致網路組態資訊外洩,或使無線網路服務遭到阻斷。HPE已在Instant On 3.3.2.0及後續版本中提供修補,呼籲用戶儘速完成升級。
HPE於1月13日發布安全公告(HPESBNW04988),指出Instant On無線基地臺在路由器模式(Router Mode)下,存在一項資訊洩漏漏洞CVE-2025-37165。公告說明,未經身分驗證的遠端攻擊者,可能透過特製的網路流量,使設備回應原本不應揭露的封包內容,進而洩漏包含VLAN識別碼在內的網路區隔資訊。該漏洞CVSS v3.1風險評分為7.5,屬於高風險等級,主要影響資訊機密性。
HPE表示,若攻擊者可接觸受影響的網路介面,便可能利用外洩的VLAN與網路區隔資訊描繪內部網路結構,增加後續攻擊成功的機率。官方指出,目前並無可行的暫時性緩解措施,僅能透過升級韌體加以修補。
同一份公告中,HPE也揭露另一項影響Instant On無線基地臺的高風險漏洞CVE-2025-37166。當設備處理特製封包時,可能進入無回應狀態,部分情況需重新啟動才能恢復服務,等同可被用於對無線網路基礎架構發動阻斷服務(DoS)攻擊。該漏洞CVSS風險分數同樣達到7.5,主要影響系統可用性。
兩項核心層級漏洞可能導致服務遭阻斷,或載入記憶體的資料被毀損
除了無線基地臺相關問題外,HPE也指出,Instant On 1930系列交換器與相關設備所使用的作業系統核心,受到多項已知封包處理漏洞影響,包括高風險漏洞CVE-2023-52340與CVE-2022-48839,涉及IPv4與IPv6封包處理機制。這類核心層級漏洞在特定條件下,可能導致服務遭到阻斷或載入記憶體的資料被毀損。相關修補已由上游核心專案提供,並整合至Instant On 3.3.2.0版本。
HPE強調,截至公告發布時,尚未觀測到針對上述漏洞的實際濫用行為或公開攻擊程式碼。不過,官方仍建議用戶儘速將受影響的Instant On無線基地臺與1930系列交換器升級至Instant On 3.3.2.0或更新版本,以降低潛在資安風險。
上述安全更新已自2025年12月10日當週起,陸續透過自動更新機制推送,用戶亦可透過Instant On行動應用程式或網頁管理介面,手動完成升級。
熱門新聞
2026-01-16
2026-01-16
2026-01-18
2026-01-16
2026-01-19