Компания Hewlett Packard Enterprise (HPE) выпустила обновления безопасности для двух линеек сетевых продуктов под брендом Aruba Networking. Исправления касаются коммутаторов серий Instant On 1830, 1930 и 1960, а также платформы управления Private 5G Core. В общей сложности закрыто четыре уязвимости, три из которых имеют высокий уровень опасности.
Детали уязвимостей
В бюллетене HPESBNW05038 описывается проблема, затронувшая коммутаторы Instant On. Уязвимость CVE-2026-44877 позволяет неаутентифицированному удалённому злоумышленнику получить доступ к криптографическим секретам, хранящимся на устройстве. Потенциальная атака может привести к нарушению конфиденциальности данных и последующему компрометацию защищённых соединений. Проблема затрагивает версии прошивки 3.3.3 и ниже. Важная деталь: для коммутаторов, управляемых через облачный интерфейс, уязвимый компонент по умолчанию отключён. Риску подвержены только устройства с локальным веб-интерфейсом или те, где были применены нестандартные конфигурации. Производитель присвоил этой уязвимости средний уровень серьёзности с базовой оценкой 6,5 балла по шкале CVSS v3.1. Исследователь Аарон П. Дэвис обнаружил эту проблему и сообщил о ней HPE.
Гораздо более серьёзная ситуация сложилась с платформой HPE Aruba Networking Private 5G Core, используемой для развёртывания частных сетей пятого поколения. Бюллетень HPESBNW05077 перечисляет три высококритичные уязвимости, затрагивающие версии до 1.26.1.0 включительно. Все три проблемы были обнаружены независимыми исследователями и широко обсуждались в профессиональном сообществе, хотя, по данным компании, на момент выпуска патча не существовало публичных эксплойтов, нацеленных именно на платформу HPE.
Первая уязвимость CVE-2026-40912 - это обход аутентификации, связанный с некорректной обработкой URL-путей в компоненте Traefik. Атака использует несоответствие между декодированным путём и сырым путём при применении middleware StripPrefixRegex. Злоумышленник может отправить запрос, в котором точка в пути после обработки превращается в dot-segment, например "/./admin/secret". ForwardAuth (механизм проверки подлинности) не распознаёт такой путь как защищённый и пропускает запрос, после чего сервер нормализует dot-segment и отдаёт конфиденциальный ресурс. Уязвимость имеет оценку 8,2 балла по CVSS и позволяет неаутентифицированному атакующему получить доступ к защищённым данным.
Вторая уязвимость CVE-2026-39806 приводит к отказу в обслуживании через бесконечную рекурсию в HTTP/1 декодере Bandit. Любой неаутентифицированный клиент может отправить запрос с заголовком Transfer-Encoding: chunked, в теле которого присутствует поле трейлера. Согласно спецификации RFC 9112, это допустимо, но реализация Bandit обрабатывает такой запрос некорректно, вызывая зависание рабочего процесса. Всего нескольких одновременных соединений достаточно, чтобы исчерпать пул слушателей и сделать сервер недоступным для всех остальных клиентов. Базовая оценка этой проблемы - 7,5 балла.
Третья уязвимость CVE-2026-39803 представляет собой однонаправленный отказ в обслуживании через переполнение памяти. Читатель чанков в Bandit игнорирует настроенное приложением ограничение на размер тела запроса (например, стандартные 8 мегабайт) и буферизирует всё тело в памяти до того, как оно будет передано приложению. Одиночный запрос с Transfer-Encoding: chunked к любому URL способен вызвать исчерпание памяти на виртуальной машине BEAM, что приводит к аварийному завершению работы приложения. Оценка по CVSS - 7,3 балла. Уязвимость затрагивает все приложения, использующие стек Phoenix/Plug поверх Bandit.
HPE рекомендует администраторам незамедлительно обновить уязвимые системы. Для коммутаторов Instant On исправление содержится в версиях прошивки 3.3.4 (для локального управления) и 3.4.0 (для облачного управления). Платформа Private 5G Core должна быть обновлена до версии 1.26.1.1. В качестве временной меры защиты производитель советует ограничить доступ к интерфейсам управления, разместив их в выделенном сегменте второго уровня или за фаерволом. Для платформы Private 5G Core также рекомендовано вести журналирование и контроль учётных действий.
Выпуск патчей для двух принципиально разных продуктов в один день подчёркивает системную работу HPE по устранению уязвимостей в своём портфеле сетевого оборудования. Компания не оценивает и не исправляет версии, достигшие конца поддержки, поэтому администраторам важно следить за жизненным циклом используемых устройств и своевременно обновлять их до актуальных релизов.
Ссылки
- https://csaf.arubanetworking.hpe.com/2026/hpe_aruba_networking_-_hpesbnw05038.txt
- https://csaf.arubanetworking.hpe.com/2026/hpe_aruba_networking_-_hpesbnw05077.txt