Hewlett Packard Enterprise divulgou quatro vulnerabilidades de alta severidade em dispositivos Aruba Instant On (Access Points e switches 1930) que, somadas, podem expor informações sensíveis e causar indisponibilidade. A versão afetada indicada é a firmware 3.3.1.0 e anteriores; a correção está disponível na 3.3.2.0.
Resumo das falhas
O advisório identifica quatro CVEs: CVE-2025-37165 (exposição de informações de VLAN em modo router), CVE-2025-37166 (DoS via pacotes forjados que deixam o dispositivo sem resposta), CVE-2023-52340 (corrupção de memória no processamento de pacotes no kernel) e CVE-2022-48839 (tratamento de pacotes IPv4/IPv6 que pode causar falhas). Três delas são acessíveis por rede e têm CVSS de 7.5; a última tem CVSS 5.5.
A gravidade técnica e o vetor
CVE-2025-37165 permite que um atacante que consiga inspecionar pacotes observe configurações de VLAN e topologia interna quando o device opera em modo roteador, potencialmente revelando detalhes de segmentação de rede. CVE-2025-37166 possibilita negação de serviço, podendo exigir reinicialização física para recuperação em casos mais severos. As falhas originam-se de mecanismos inadequados de processamento de pacotes no software/firmware dos dispositivos.
Alcance e mitigação
A HPE informou que os produtos afetados são os Access Points Instant On e a série de switches Aruba Instant On 1930 com firmware 3.3.1.0 ou anterior, e que não há evidência pública de exploração ativa até a data do advisório (13/01/2026). A empresa disponibilizou a versão 3.3.2.0 que corrige os quatro problemas e iniciou atualizações automáticas na semana de 10 de dezembro de 2025 — o que significa que parte da base instalada pode já ter recebido o patch.
Por não existirem workarounds efetivos documentados, a única mitigação confiável é aplicar a atualização o quanto antes. A HPE recomenda verificar versões via aplicativo Instant On ou portal web e forçar a atualização manualmente quando a automação não tenha ocorrido. Priorize dispositivos em segmentos sensíveis e infraestruturas críticas.
Responsáveis pela descoberta
As vulnerabilidades foram identificadas por diferentes pesquisadores: Daniel J Blueman reportou a exposição de VLAN, Petr Chelmar relatou o DoS, e o time de engenharia do Instant On detectou internamente as falhas no kernel durante auditorias de segurança.
Implicações operacionais
Embora não haja indicação de exploração ativa até o advisório, a natureza de rede e a baixa complexidade de ataque das três vulnerabilidades de acesso pela rede elevam o risco para dispositivos expostos. Equipamentos que dão conectividade a usuários ou servem segmentos sensíveis (redes IoT, gestão, serviços de autenticação) devem ser priorizados no processo de correção.
Resumo técnico: CVE-2025-37165/CVE-2025-37166/CVE-2023-52340/CVE-2022-48839 afetam Aruba Instant On (firmware <= 3.3.1.0). Atualize para 3.3.2.0. Não há workarounds publicados; verifique políticas de atualização automáticas e proceda à revisão de inventário.