HPE Aruba製スイッチ向けOSに認証回避など複数の脆弱性

2026年3月16日

HPE Aruba製スイッチ向けOSに認証回避など複数の脆弱性が発見

Hewlett Packard Enterprise（HPE）は、ネットワーク機器向けOS「HPE Aruba Networking AOS-CX」に複数の深刻な脆弱性が存在することを公表しました。特に認証回避の脆弱性は、管理者権限の不正取得につながる可能性があり、迅速な対応が求められています。

認証バイパスの脆弱性（CVE-2026-23813）: ウェブベースの管理インターフェースに存在し、正規の認証を回避して管理者権限を奪取できる恐れがあります。場合によっては管理者パスワードのリセットも可能です。
コマンドインジェクションの脆弱性（CVE-2026-23814、CVE-2026-23815、CVE-2026-23816）: コマンドラインインターフェースに存在し、悪意あるコマンドの実行を許す可能性があります。これによりシステムの制御が奪われるリスクがあります。
脆弱性の深刻度: これらの脆弱性はCVSSv3.1で最高レベルの「9.8」と評価され、「クリティカル」と分類されています。
報告経緯: バグ報奨金プログラムを通じて発見・報告され、HPEは速やかにセキュリティアドバイザリを公開しました。
対策の呼びかけ: HPEはユーザーに対し、最新のアップデート適用を強く推奨しています。

「認証バイパス」とは、本来必要な認証手続きを回避してシステムにアクセスできてしまう脆弱性を指します。今回のCVE-2026-23813は、ウェブ管理画面における認証処理の不備が原因で、攻撃者は正規ユーザーの認証を経ずに管理者権限を取得可能です。

また、「コマンドインジェクション」は、外部からの入力を適切に検証しないことで、悪意あるコマンドがシステム上で実行されてしまう脆弱性です。これにより、攻撃者はシステムの制御を奪い、情報漏洩やサービス停止などの被害を引き起こす恐れがあります。

CVSS（Common Vulnerability Scoring System）は脆弱性の深刻度を数値化する指標で、9.8はほぼ最大値に近い非常に危険な状態を示します。

HPE Arubaのスイッチは企業ネットワークの中核を担う重要な機器です。これらの脆弱性を悪用されると、ネットワーク全体の管理権限を奪われ、内部情報の漏洩やネットワークの制御不能といった重大なセキュリティインシデントにつながります。

特に認証回避の脆弱性は、攻撃者が容易に管理者権限を奪取できるため、早急なパッチ適用が不可欠です。ネットワーク管理者は速やかに公式のアップデートを適用し、脆弱性の悪用を防ぐ必要があります。

HPE Aruba Networking AOS-CXにおける複数のクリティカルな脆弱性は、企業ネットワークの安全性に大きな脅威をもたらします。特に認証バイパスとコマンドインジェクションの問題は、管理者権限の不正取得やシステム乗っ取りのリスクを高めるため、速やかな対策が求められます。

ユーザーはHPEから提供される最新のセキュリティアップデートを直ちに適用し、ネットワーク機器の安全性を確保してください。脆弱性管理は継続的な取り組みが必要であり、日頃からの監視と迅速な対応が重要です。