HPE、Arubaハードウェアにおけるハードコード化されたパスワードによるセキュリティリスクを警告

Hewlett Packard Enterprise（HPE）は、Aruba Instant On Access Pointsにおける重大なセキュリティ脆弱性を修正したと発表しました。この脆弱性、CVE-2025-37103とCVE-2025-37102は、いずれもハードコード化された資格情報に関するものです。CVE-2025-37103では、管理者アカウントに対するハードコード化された資格情報が問題となり、CVE-2025-37102では、任意のコマンドを管理者として実行できる脆弱性が確認されました。これにより、攻撃者はアクセスポイントに管理者としてアクセスし、設定を変更したり、マルウェアを展開したりすることが可能となります。HPEは、これらの脆弱性を修正するためのパッチを提供しました。Aruba Instant On Access Pointsは、小規模ビジネス向けのWi-Fiデバイスで、簡単に展開できる高速かつ安全なワイヤレス接続を提供することを謳っています。HPEはセキュリティアドバイザリーで、デバイスのファームウェアにハードコード化された資格情報が存在し、それを知っている者は通常のデバイス認証をバイパスできることを発見したと説明しています。