HPE 官方安全公告HPESBNW049882026 年 1 月 13 日发布确认HPE Networking Instant On 接入点和Aruba Instant On 1930 交换机存在多个高危漏洞。受影响版本软件版本3.3.1.0 及以下已修复版本3.3.2.0 及更高版本2025 年 12 月起推送HPE 强烈建议所有用户尽快升级固件避免网络配置泄露和 Wi-Fi 基础设施中断风险。受影响硬件设备Instant On 接入点系列运行路由器模式时风险更高Aruba Instant On 1930 交换机系列主要漏洞详解1. CVE-2025-37165高危CVSS 7.5—— VLAN 配置信息泄露该漏洞存在于接入点路由器模式配置中。 当设备处理精心构造的网络流量时内部网络配置细节VLAN 标识符、网络分段设计等会在不应泄露的接口上暴露。攻击者无需任何身份验证或用户交互即可远程利用。成功利用后恶意攻击者可利用泄露的 VLAN 和拓扑信息绘制内部网络地图进而实施横向渗透或定向攻击。CVSS 向量CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N主要影响数据机密性。VLAN 网络分段概念示意信息意外泄露风险VLAN Concept | NetworkAcademy.IO2. CVE-2025-37166高危CVSS 7.5—— 远程拒绝服务DoS设备在处理特制网络数据包时可能导致接入点意外无响应或关闭部分情况下需进行硬重置才能恢复服务。 攻击者可借此远程干扰整个 Wi-Fi 基础设施的可用性。CVSS 向量CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H主要影响系统可用性。拒绝服务攻击概念示意What is a distributed denial-of-service (DDoS) attack? | Cloudflare3. 底层内核漏洞CVE-2023-52340 CVE-2022-48839源于 IPv4/IPv6 数据包处理机制缺陷可能引发拒绝服务或内存损坏严重等级均为高危CVSS 最高 7.5。 HPE 已在上游内核完成修复并集成到设备中。截至目前HPE 尚未发现这些漏洞的公开利用代码或活跃攻击实例。修复建议无临时解决方案目前只能通过升级固件彻底修复无其他缓解措施。推荐升级方式通过Instant On 移动应用或云管理 Web 门户手动触发升级。等待自动更新推送3.3.2.0 版本已于 2025 年 12 月 10 日当周开始推送。Instant On 云管理门户界面示例用于查看设备状态与升级Instant On 3.0: A modern UI with new features操作建议登录 Instant On 管理门户或 App。检查所有接入点和 1930 交换机的固件版本。批量升级至3.3.2.0 或更高版本。升级完成后重启设备并验证网络配置与连通性。安全提醒采用路由器模式的 Instant On 接入点受 CVE-2025-37165 影响最为显著。中小企业与分支机构用户应优先检查并升级。建议定期监控 HPE 安全公告及时应用最新固件。参考来源HPE 官方公告 HPESBNW04988。