HPE上周发布安全公告，警告网络设备Aruba软件存在三项漏洞，其中包括一个高风险等级的OpenSSL相关漏洞。

三项漏洞均位于Aruba Fabric Composer中，分别为CVE-2024-4741、CVE-2026-23592和CVE-2026-23593。其中最重要的是CVE-2024-4741，该漏洞存在于OpenSSL API的SSL_free_buffers函数中，属于使用已释放内存（Use-After-Free）漏洞。在特定情况下，调用SSL_free_buffers函数可能导致内存被攻击者访问。该漏洞由OpenSSL软件基金会发现并通报，CVSS风险评分为7.5。

HPE提醒，在特定条件下，即使缓冲区仍在使用中，攻击者仍可能成功调用SSL_free_buffers函数，因此攻击者会试图刻意制造这些情境。只有直接调用SSL_free_buffers函数的应用程序才会受到影响。HPE的调查结论表明，该函数极少被应用程序调用，未调用该函数的应用程序不受影响。

CVE-2026-23592是Aruba Fabric Composer备份功能中的不安全文件处理漏洞，允许经过身份验证的远程攻击者执行任意代码。成功利用该漏洞的攻击者可在底层操作系统上执行任意指令，CVSS风险评分为7.2，属于高风险。第三项漏洞CVE-2026-23593是Aruba Fabric Composer网页管理界面中的文件读取漏洞，未经过身份验证的远程攻击者可利用该漏洞读取系统目录中的文件，CVSS风险评分为5.3，属于中风险。CVE-2026-23592和CVE-2026-23593均由外部研究人员Daniel Jensen通过HPE Aruba漏洞赏金计划通报。

受影响版本为Aruba Networking Fabric Composer 7.2.3及以下版本，HPE已发布修复漏洞的更新版本Aruba Networking Fabric Composer 7.3.0。需要注意的是，目前仅7.2.3版本仍获得HPE官方支持，旧版本将不再提供补丁。

目前HPE尚未收到任何有关该漏洞被实际攻击或利用代码公开的报告。HPE Aruba部门建议用户将管理界面的访问权限限制在专用的Layer 2网段/VLAN内，并通过防火墙策略管控Layer 3及以上流量，同时配合对用户活动和资源使用的监控与日志记录。