Múltiples vulnerabilidades en EdgeConnect SD-WAN Orchestrator de HPE
Las siguientes versiones de HPE Aruba Networking EdgeConnect SD-WAN Orchestrator están afectadas:
- EdgeConnect SD-WAN Orchestrator 9.6.x: versión 9.6.0.
- EdgeConnect SD-WAN Orchestrator 9.5.x: versión 9.5.5 y anteriores.
- EdgeConnect SD-WAN Orchestrator 9.4.x: versión 9.4.7 y anteriores.
Además de las versiones enumeradas, también se han agregado correcciones para la vulnerabilidad crítica:
- EdgeConnect SD-WAN Orchestrator versiones 9.3.6 y superiores.
- EdgeConnect SD-WAN Orchestrator versiones 9.4.3 y superiores.
HPE ha publicado 5 vulnerabilidades: 1 de severidad crítica, 3 de severidad alta, y una de severidad media. La explotación de estas vulnerabilidades podría permitir a un atacante remoto omitir las restricciones de acceso o inyectar código SQL, entre otras.
Se recomienda actualizar a las versiones 9.6.1, 9.5.6, 9.4.8 o superiores.
CVE-2025-37184: existe una vulnerabilidad crítica en un servicio Orchestrator que podría permitir a un atacante remoto no autenticado omitir los requisitos de autenticación multifactor. Si se explota con éxito, se podría permitir a un atacante crear una cuenta de administrador sin la autenticación multifactor necesaria, comprometiendo así la integridad del acceso seguro al sistema.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2025-37184 | Crítica | No | HPE |
| CVE-2025-37182 | Alta | No | HPE |
| CVE-2025-37182 | Alta | No | HPE |
| CVE-2025-37181 | Alta | No | HPE |
| CVE-2025-37185 | Media | No | HPE |
