La vulnerabilidad, identificada como CVE-2026-23813, afecta al sistema operativo AOS-CX y podría permitir a atacantes tomar control total de dispositivos de red sin necesidad de credenciales.
Hewlett Packard Enterprise (HPE) publicó actualizaciones de seguridad para corregir múltiples vulnerabilidades en su sistema operativo de red Aruba AOS-CX, incluyendo una falla crítica que podría permitir a atacantes remotos restablecer contraseñas de administrador sin necesidad de autenticación previa.
La vulnerabilidad más severa, identificada como CVE-2026-23813, afecta a la interfaz de gestión web de los switches y permite a un atacante no autenticado eludir los mecanismos de seguridad existentes. Según el aviso de la compañía la vulnerabilidad “podría permitir a un actor remoto no autenticado eludir los controles de autenticación” y, en ciertos casos, “restablecer la contraseña de administrador”.
Este fallo tiene una calificación crítica, con una puntuación cercana al máximo en la escala CVSS (hasta 9.8), lo que refleja el alto impacto potencial en entornos empresariales donde estos dispositivos son utilizados para la gestión de redes corporativas y centros de datos.
El problema radica en la interfaz de administración accesible vía web, lo que implica que un atacante podría explotar la vulnerabilidad de forma remota sin interacción del usuario ni privilegios previos. En caso de éxito, el acceso permitiría modificar credenciales administrativas y obtener control total del dispositivo afectado.
Además de esta falla crítica, HPE abordó otras cuatro vulnerabilidades en AOS-CX, identificadas como CVE-2026-23814, CVE-2026-23815, CVE-2026-23816 y CVE-2026-23817, que incluyen problemas de inyección de comandos y redirección abierta. Algunas de estas requieren acceso autenticado, pero igualmente podrían ser utilizadas para ejecutar comandos arbitrarios en los sistemas afectados.
Las versiones impactadas abarcan múltiples ramas del sistema operativo, incluyendo AOS-CX 10.10, 10.13, 10.16 y 10.17 en versiones anteriores a los parches publicados. La compañía instó a los administradores a actualizar a versiones corregidas para mitigar los riesgos.
HPE indicó que, al momento de la divulgación, no tenía conocimiento de explotación activa de estas vulnerabilidades ni de la existencia de código público diseñado para aprovecharlas.
Como medidas temporales para organizaciones que no puedan aplicar los parches de inmediato, la empresa recomendó restringir el acceso a las interfaces de administración a segmentos de red específicos, implementar políticas estrictas de control de acceso, deshabilitar interfaces HTTP/HTTPS innecesarias y reforzar los mecanismos de monitoreo y registro de actividad.
Los switches que utilizan Aruba AOS-CX son ampliamente implementados en entornos empresariales, incluyendo redes de campus y centros de datos, lo que amplifica el impacto potencial de una vulnerabilidad de este tipo.