4月30日HPE Aruba Networking發布4月份資安公告，指出其網路設備作業系統ArubaOS存在10個漏洞，影響Mobility Conductor（原Mobility Master）、Mobility Controller，以及由Aruba Central雲端控管的WLAN閘道、SD-WAN閘道等設備，且皆與透過PAPI通訊協定存取有關，攻擊者無須通過身分驗證就有機會觸發。

其中，有4個漏洞：CVE-2024-26304、CVE-2024-26305、CVE-2024-33511、CVE-2024-33512被列為危急等級，皆為未經身分驗證的記憶體緩衝區溢位漏洞，CVSS風險評分都達到了9.8分。一旦遭到利用，攻擊者就有機會以特權使用者的身分，於作業系統底層執行任意程式碼。

而這些漏洞涉及的元件，則有所不同。CVE-2024-26304與L2及L3的管理服務有關，而CVE-2024-26305則是出現在Utility處理程序，至於CVE-2024-33511為自動報告服務的弱點，而CVE-2024-33512，則在本機使用者身分驗證資料庫發現。

對此，HPE Aruba Networking發布8.10.0.11、8.11.2.2、10.4.1.1、10.5.1.1、10.6.0.0版ArubaOS予以修補，並指出已終止維護的6.5.4至10.3版ArubaOS，以及8.6.0.4-2.2.x.x至8.7.0.0-2.3.0.x版的SD-WAN網路設備作業系統，也存在上述漏洞。