Корпорация Hewlett Packard Enterprise (HPE) выпустила бюллетень безопасности HPESBNW05064, в котором подтвердила наличие критической уязвимости в компоненте NGINX, используемом в нескольких продуктах HPE Aruba Networking. Проблема идентифицирована как CVE-2026-42945 и связана с модулем ngx_http_rewrite_module в NGINX Plus и NGINX Open Source. Уязвимость получила оценку 8.1 балла по шкале CVSS v3.1, что соответствует высокому уровню опасности.
Детали уязвимости
Уязвимость возникает при специфической конфигурации сервера. Если директива rewrite с строкой запроса размещена в одном location с последующей директивой if или set, использующей безымянный захват регулярного выражения PCRE (Perl-совместимые регулярные выражения), злоумышленник может отправить специально сформированный HTTP-запрос. Это приводит к переполнению буфера кучи (heap buffer overflow) в рабочем процессе NGINX. Последствия варьируются от аварийного перезапуска процесса до потенциального удаленного выполнения произвольного кода. Для эксплуатации без дополнительных уязвимостей требуется отключенный механизм ASLR (рандомизация адресного пространства) либо возможность его обхода. Вектор атаки сетевой, аутентификация не требуется, однако сложность эксплуатации оценена как высокая.
Подтверждено, что уязвимость затрагивает два продукта линейки HPE Aruba Networking. Первый - платформа управления беспроводной инфраструктурой Airwave версий 8.3.0.6 и ниже. Второй - Private 5G Management Dashboard, решение для управления частными сетями пятого поколения, все поддерживаемые версии которого признаны уязвимыми. В настоящее время HPE также проводит оценку потенциального воздействия на продукты Analytics and Location Engine (ALE) и Central On Premises. Окончательные результаты по этим системам пока не опубликованы.
Производитель сообщил, что исправления будут выпущены в виде обновлений программного обеспечения. Для Airwave целевой версией является 8.3.0.7, для Private 5G Management Dashboard - версия 1.25.2.2. Ожидаемая дата выхода - первая половина июля 2026 года. До установки патчей HPE рекомендует ограничить доступ к интерфейсам управления, разместив их в выделенном сегменте второго уровня (VLAN) либо контролируя трафик с помощью межсетевых экранов третьего уровня и выше. Дополнительно следует настроить учетные записи для отслеживания и регистрации действий пользователей.
Важно отметить, что HPE не оценивает и не предоставляет исправления для веток программного обеспечения, достигших конца срока поддержки (End of Maintenance). Организации, использующие такие версии, должны рассматривать себя как потенциально подверженные риску. Компания настоятельно рекомендует перейти на поддерживаемый релиз.
Уязвимость была обнаружена и сообщена исследователем Чжэньпэном (Лео) Линем из depthfirst компании F5. По данным HPE, информация о CVE-2026-42945 уже широко обсуждается в публичном пространстве. Подробности технической реализации доступны в бюллетене F5. На момент публикации уведомления производитель не располагал сведениями о готовых эксплойтах, нацеленных именно на продукты HPE Aruba Networking. Тем не менее, сам факт наличия общедоступной информации повышает вероятность появления инструментов для атак.
Для организаций, использующих Airwave или Private 5G Management Dashboard, текущая ситуация означает необходимость включить процесс обновления в ближайшие планы. Уязвимость позволяет удаленно запустить код или вызвать отказ в обслуживании. В случае успешной эксплуатации злоумышленник может получить контроль над сервером управления сетью. Это, в свою очередь, способно привести к компрометации всей управляемой инфраструктуры, включая точки доступа и базовые станции. Сроки выхода патчей - середина лета 2026 года - дают администраторам время на подготовку к обновлению и усиление защитных мер.
Пользователям следует отслеживать обновления на портале поддержки HPE Networking и планировать установку исправлений сразу после их публикации. В качестве временной меры рекомендуется строгая изоляция интерфейсов управления от публичных сетей и внедрение многофакторной аутентификации, если это поддерживается конфигурацией.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-42945
- https://csaf.arubanetworking.hpe.com/2026/hpe_aruba_networking_-_hpesbnw05064.txt
