Hewlett-Packard Enterprise (HPE), bir saldırganın kimlik doğrulamasını atlamasına ve duyarlı sistemlere yönetimsel erişim kazanmasına izin verebilecek erişim noktalarında anında etkileyen kritik bir güvenlik kusurunu ele almak için güvenlik güncellemeleri yayınladı.
CVE-2025-37103 olarak izlenen güvenlik açığı, maksimum 10.0 üzerinden 9.8 CVSS puanı taşır.
Şirket, “Sabit kodlu giriş kimlik bilgileri, erişim noktalarında HPE Networking anında bulundu ve bilgisi olan herkesin normal cihaz kimlik doğrulamasını atlamasına izin verdi.” Dedi.
“Başarılı sömürü, uzak bir saldırganın sisteme idari erişim elde etmesine izin verebilir.”
Ayrıca HPE tarafından yamalı, HPE ağ oluşturma anında, erişim noktalarındaki (CVE-2025-37102, CVSS puanı: 7.2), bir uzak saldırganın, ayrı bir kullanıcı olarak altta yatan işletme sisteminde keyfi komutlar çalıştırmak için yüksek izinlerle sömürülebileceği kimliği doğrulanmış bir komut enjeksiyon kusurudur.
Bu aynı zamanda bir saldırganın CVE-2025-37103 ve CVE-2025-37102’yi bir istismar zincirine dönüştürebileceği ve idari erişim elde etmelerini ve takip etkinliği için komut satırı arayüzüne kötü niyetli komutlar enjekte edebileceği anlamına gelir.
Şirket, Ubisectech Sirius ekibinden ZZ’ye iki konuyu keşfettiği ve rapor ettiği için kredilendirdi. Her iki güvenlik açıkları da 3.2.1.0 ve üstü yazılım sürümünde HPE Networking anında çözülmüştür.
HPE ayrıca danışmanında HPE Networking Anında Anahtarlar gibi diğer cihazların etkilenmediğini de belirtti.
Her ikisinin de aktif sömürü altına girdiğine dair bir kanıt olmasa da, kullanıcılara olası tehditleri azaltmak için güncellemeleri mümkün olan en kısa sürede uygulamaları tavsiye edilir.