安全建議公告:HPE Aruba Networking AOS-CX 漏洞
HPE 揭露了 AOS-CX 網路作業系統中的多項漏洞。若成功遭到利用,攻擊者可能繞過身分驗證控制,或在設備的底層作業系統上執行任意指令。
危急提醒:CVE-2026-23813 允許遠端未經授權的攻擊者重設管理員密碼。請立即執行修補程序。
漏洞摘要
| CVE ID | 類型 | CVSS 分數 |
|---|---|---|
| CVE-2026-23813 | 身分驗證繞過 | 9.8 |
| CVE-2026-23814 | CLI 指令注入 | 8.8 |
| CVE-2026-23815 | 二進位檔指令注入 | 7.2 |
| CVE-2026-23816 | OS 指令注入 | 7.2 |
| CVE-2026-23817 | 開放重定向 | 6.5 |
修復建議
請更新至以下版本(或更高版本)以解決上述安全問題:
- AOS-CX 10.10.xxxx: 升級至 10.10.1180
- AOS-CX 10.13.xxxx: 升級至 10.13.1161
- AOS-CX 10.16.xxxx: 升級至 10.16.1030
- AOS-CX 10.17.xxxx: 升級至 10.17.1001
資產識別 (runZero)
若要尋找清單中可能受影響的系統,請使用以下查詢語句:
hw:=”HPE Aruba CX%” AND protocol:http
關於 runZero
runZero 是一種網路發現和資產庫存解決方案,由 Metasploit 的創建者 HD Moore 於 2018 年創立。 HD 設想了一種現代主動發現解決方案,無需憑證即可找到和識別網路上的所有內容。 作為一名安全研究員和滲透測試人員,他經常採用良性的方式來獲取資訊洩漏並將它們拼湊起來以建立設備配置文件。 最終,這項工作促使他利用應用研究和為安全和滲透測試開發的發現技術來創建 runZero。
關於 Version 2 Digital
資安解決方案 專業代理商與領導者
台灣二版 ( Version 2 ) 是亞洲其中一間最有活力的 IT 公司,多年來深耕資訊科技領域,致力於提供與時俱進的資安解決方案 ( 如EDR、NDR、漏洞管理 ),工具型產品 ( 如遠端控制、網頁過濾 ) 及資安威脅偵測應 變服務服務 ( MDR ) 等,透過龐大銷售點、經銷商及合作伙伴,提供廣被市場讚賞的產品及客製化、在地化的專業服務。
台灣二版 ( Version 2 ) 的銷售範圍包括台灣、香港、中國內地、新加坡、澳門等地區,客戶涵 蓋各產業,包括全球 1000 大跨國企業、上市公司、公用機構、政府部門、無數成功的中小企業及來自亞 洲各城市的消費市場客戶。