أصدرت شركة Hewlett-Packard Enterprise (HPE) تحديثات أمنية لمعالجة ثغرة خطيرة تؤثر على نقاط الوصول من نوع Instant On، والتي قد تسمح للمهاجمين بتجاوز آليات المصادقة والوصول إلى صلاحيات الإدارة على الأنظمة المعرضة للخطر.
وتحمل هذه الثغرة الرقم CVE-2025-37103، وقد حصلت على درجة خطورة 9.8 من 10 وفقًا لمقياس CVSS، مما يعكس خطورتها الشديدة.
بيانات اعتماد مدمجة تسمح بتجاوز المصادقة
وأوضحت الشركة في بيانها الأمني أن “بيانات اعتماد لتسجيل الدخول تم اكتشافها مدمجة مسبقًا في أجهزة HPE Networking Instant On Access Points، ما يتيح لأي شخص على علم بها تجاوز المصادقة القياسية الخاصة بالجهاز”.
وأضافت أن “الاستغلال الناجح لتلك الثغرة يمكن أن يسمح للمهاجم البعيد بالحصول على وصول إداري كامل إلى النظام”.
ثغرة ثانية في واجهة الأوامر وتكامل محتمل بين الهجمتين
بالإضافة إلى ذلك، قامت HPE بإصلاح ثغرة أخرى تتعلق بحقن أوامر في واجهة الأوامر الخاصة بنفس أجهزة نقاط الوصول، وهي الثغرة المسجلة تحت الرقم CVE-2025-37102، والتي حصلت على تقييم 7.2 على مقياس CVSS. ويمكن للمهاجم عن بعد استغلال هذه الثغرة، في حال كان يمتلك صلاحيات مرتفعة، لتنفيذ أوامر عشوائية على نظام التشغيل الأساسي بصفته مستخدمًا ذا امتيازات.
ويشير هذا إلى إمكانية قيام المهاجم بسلسلة استغلال تجمع بين الثغرتين CVE-2025-37103 وCVE-2025-37102، ما يتيح له الحصول على وصول إداري وحقن أوامر خبيثة عبر واجهة الأوامر لتنفيذ أنشطة ضارة لاحقة.
تصحيحات متاحة وتوصيات المستخدمين
وقد نسبت الشركة الفضل في اكتشاف هاتين الثغرتين إلى الباحث الأمني ZZ من فريق Sirius التابع لشركة Ubisectech. وأكدت HPE أن الإصلاحات متوفرة ضمن إصدار برنامج HPE Networking Instant On 3.2.1.0 وما بعده.
كما أوضحت الشركة أن أجهزة أخرى مثل HPE Networking Instant On Switches غير متأثرة بتلك الثغرات.
ورغم عدم وجود مؤشرات على استغلال الثغرتين حتى الآن، توصي HPE المستخدمين بتطبيق التحديثات فورًا للحد من أي تهديدات محتملة.
