Hewlett Packard Enterprise (HPE) ha revelado cuatro vulnerabilidades de alta severidad en sus dispositivos Aruba Networking Instant On que permiten la divulgación de información sensible y la interrupción del servicio. Las fallas afectan dispositivos con firmware versión 3.3.1.0 y anteriores, siendo explotables vía red sin necesidad de autenticación en la mayoría de los casos, lo que incrementa el riesgo para infraestructuras conectadas.
CVE y severidad
| CVE ID | Descripción | Severidad | CVSS v3.1 | Vector de ataque |
|---|---|---|---|---|
| CVE-2025-37165 | Exposición de información VLAN en modo router | Alta | 7.5 | Red, sin autenticación |
| CVE-2025-37166 | Denegación de servicio mediante paquetes maliciosos causando apagado del dispositivo | Alta | 7.5 | Red, sin autenticación |
| CVE-2023-52340 | Corrupción de memoria en procesamiento de paquetes a nivel kernel | Alta | 7.5 | Red, sin autenticación |
| CVE-2022-48839 | Vulnerabilidad en manejo de paquetes IPv4/IPv6 | Alta | 5.5 | Local, requiere privilegios bajos |
Productos afectados
| Fabricante | Producto | Versiones afectadas |
|---|---|---|
| Hewlett Packard Enterprise | Aruba Networking Instant On Access Points y Aruba Instant On 1930 Switch Series | Firmware versión 3.3.1.0 y anteriores |
Solución
Actualizar a la versión 3.3.2.0 del firmware que corrige todas las vulnerabilidades reportadas.
Recomendaciones
Se recomienda priorizar la actualización inmediata de los dispositivos críticos o que gestionen segmentos sensibles, verificando versiones mediante la aplicación móvil o portal web Instant On; no existen soluciones temporales, por lo que el parche es la única mitigación efectiva.