11月5日HPE Aruba Networking发布资安公告，修补旗下无线基地台一系列的漏洞，并指出其中的CVE-2024-42509、CVE-2024-47460为重大层级特别危险。

这两个漏洞皆涉及基地台管理协定（PAPI）存取的命令行界面（CLI）服务，一旦成功利用，攻击者可在未经身分验证的情况下，发动命令注入攻击，CVSS风险评为9.8、9.0，影响运行Instant AOS-8及AOS-10的无线基地台，至于Mobility Conductor、Mobility Controllers、SD-WAN闸道设备则不受影响。

再者，两者都是命令注入漏洞，位于CLI服务，攻击者只要对PAPI使用的UDP连接端口（8211端口）发送特制封包，就能以高权限用户的身分任意运行代码。

从公告的内容来看，漏洞的发生原因、造成的影响，HPE都采用一模一样的叙述，但两者的评分却有所落差。发生这种现象的原因，也许可以从漏洞的危险程度评估看出瑞倪，CVE-2024-42509遭滥用的复杂度较低（AC:L），导致此漏洞的风险评分高于CVE-2024-47460。

若是无法套用更新，该公司也提供临时缓解措施。对于运行Instant AOS-8操作系统的设备，IT人员可通过下达cluster-security命令，激活Cluster Security保护设置；而针对搭载AOS-10的设备，则是应该管制8211端口，封锁所有不受信任网域的存取行为。