JVNDB-2026-006617

アルバネットワークス株式会社のArubaOSにおける中間者の問題に関する脆弱性

パケット処理ロジックの脆弱性により、認証された攻撃者が悪意のあるWi-Fiフレームを作成して送信し、アクセスポイント（AP）がそのフレームをグループアドレストラフィックとして分類させることが可能です。これにより、被害者のBSSIDに関連付けられたグループ一時キー（GTK）を使用して再暗号化させることができます。この脆弱性を悪用すると、GTKに依存しないトラフィックの注入が可能になり、ポートスティーリング技術と組み合わせることで、攻撃者が捕捉したトラフィックをリダイレクトし、BSSIDの境界を越えた機械間攻撃（MitM）を促進することができます。

アルバネットワークス株式会社

• ArubaOS 10.3.0.0 から 10.4.1.10
• ArubaOS 10.5.0.0 から 10.7.2.2
• ArubaOS 6.5.4.0 から 8.10.0.21
• ArubaOS 8.11.0.0 から 8.12.0.6
• ArubaOS 8.13.0.0 から 8.13.1.1
• ArubaOS 10.8.0.0

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う情報について、書き換えは発生しません。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

ヒューレット・パッカード・エンタープライズ

• Hewlett Packard Enterprise Support Center : HPESBNW05026 rev.1 - Multiple Vulnerabilities in HPE Aruba Networking Wireless Operating Systems (AOS-8 and AOS-10) for Mobility Conductors, Controllers, Gateways, and Access Points.

1. 中間者の問題(CWE-300) [その他]

1. CVE-2026-23810

1. National Vulnerability Database (NVD) : CVE-2026-23810

• [2026年03月11日]
    掲載