CVE-2025-37093 — 神龙十问 AI 深度分析摘要
CVSS 9.8 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:HPE StoreOnce 存在**身份验证绕过**漏洞。 🔥 **后果**:攻击者可未授权访问系统,导致**机密性、完整性、可用性**全面崩塌(CVSS 评分极高)。
Q2根本原因?(CWE/缺陷点)
🔍 **根本原因**:**身份验证机制失效**。 ⚠️ **缺陷点**:攻击者可以**绕过**正常的登录或认证流程,直接获取系统访问权限。
Q3影响谁?(版本/组件)
🏢 **受影响厂商**:**Hewlett Packard Enterprise (HPE)**。 💻 **受影响产品**:**HPE StoreOnce Software**(云备份数据保护系统)。
Q4黑客能干啥?(权限/数据)
🕵️ **黑客能力**: - **完全控制**:CVSS 向量显示 C:H/I:H/A:H,意味着可读取、修改、删除数据,甚至瘫痪系统。 - **无感入侵**:无需用户交互,直接通过认证绕过获取最高权限。
Q5利用门槛高吗?(认证/配置)
📉 **利用门槛**:**极低**。 - **网络访问**:AV:N(网络可攻击)。 - **认证要求**:PR:N(无需任何权限/认证)。 - **复杂度**:AC:L(攻击简单)。 - **用户交互**:UI:N(无需用户点击)。
Q6有现成Exp吗?(PoC/在野利用)
📦 **现成Exp**:数据中 **pocs** 字段为空,暂无公开 PoC 代码。 🌍 **在野利用**:未提及,但鉴于利用门槛极低,需高度警惕潜在自动化攻击。
Q7怎么自查?(特征/扫描)
🔎 **自查方法**: 1. 检查是否运行 **HPE StoreOnce** 软件。 2. 尝试访问备份管理接口,观察是否存在**未授权访问**现象。 3. 监控异常登录日志,特别是来自外部 IP 的无认证请求。
Q8官方修了吗?(补丁/缓解)
🛡️ **官方修复**: - **状态**:已发布安全公告(2025-06-02)。 - **补丁链接**:[HPE 支持文档](https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbst04847en_us&docLocale=en_US)。 - **行动**:请立即查阅该链接获取最新补丁或缓解措施。
Q9没补丁咋办?(临时规避)
🚧 **临时规避**: 1. **网络隔离**:将 StoreOnce 系统置于**内网**,禁止公网直接访问。 2. **访问控制**:配置防火墙/WAF,严格限制对管理接口的访问 IP。 3. **最小权限**:确保所有服务账户使用强密码,并定期审计。
Q10急不急?(优先级建议)
🔥 **紧急程度**:**极高**。 - **CVSS 评分**:基于 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H,这是一个**高危**漏洞。 - **建议**:立即应用官方补丁,若无法立即修补,必须实施严格的网络访问控制。