Im Zentrum der aktuellen Sicherheitsmeldung steht eine kritische Schwachstelle zur Umgehung der Authentifizierung in AOS-CX, dem Netzwerk-Betriebssystem der HPE-Tochter Aruba Networks für die CX-Switch-Serie. Die unter CVE-2026-23813 geführte Lücke betrifft die webbasierte Verwaltungsoberfläche der Switches.

Laut HPE kann ein nicht authentifizierter, entfernter Akteur die bestehenden Authentifizierungskontrollen umgehen. In bestimmten Fällen lässt sich darüber das Admin-Passwort zurücksetzen. Der Angriff erfordert keine Berechtigungen und gilt als wenig komplex. Neben dieser Schwachstelle behob HPE weitere Probleme bei Authentifizierung und Codeausführung im selben Betriebssystem.

Nach eigenen Angaben sind dem Unternehmen zum Veröffentlichungszeitpunkt der Sicherheitsmeldung keine öffentlichen Diskussionen oder Exploit-Codes bekannt, die gezielt auf diese Schwachstellen abzielen. HPE fand zudem weder frei verfügbaren Proof-of-Concept-Code noch Hinweise darauf, dass Angreifer die Lücken bereits aktiv ausnutzen. Administratoren, die die Updates nicht umgehend einspielen können, stehen laut Hersteller alternative Gegenmaßnahmen zur Verfügung.

Die Meldung reiht sich in eine Folge von Sicherheitsproblemen bei HPE-Produkten ein. In diesem Jahr warnte das Unternehmen vor fest einprogrammierten Zugangsdaten in Aruba Instant On Access Points, über die Angreifer die übliche Geräteauthentifizierung umgehen konnten. Einen Monat zuvor schloss HPE acht Schwachstellen in seiner festplattenbasierten Backup- und Deduplizierungslösung StoreOnce, darunter eine weitere kritische Lücke zur Umgehung der Authentifizierung sowie drei Schwachstellen zur Remote-Codeausführung.

Kürzlich stufte zudem die US-Cybersicherheitsbehörde CISA eine HPE-OneView-Schwachstelle mit der höchstmöglichen Schwere als aktiv ausgenutzt ein.

HPE beschäftigt weltweit mehr als 61.000 Mitarbeiter, wies für 2024 einen Umsatz von 30,1 Milliarden US-Dollar aus und beliefert über 55.000 Unternehmenskunden, darunter 90 Prozent der Fortune-500-Konzerne.