一、 漏洞 CVE-2025-34098 基础信息
漏洞信息
                                        # Riverbed SteelHead VCX 通过日志过滤注入实现认证任意文件读取 vulnerabilities

## 漏洞概述
Riverbed SteelHead VCX 设备的管理 web 接口中的日志过滤功能存在路径遍历漏洞,原因是输入验证不充分。攻击者可以通过提交经过精心构造的过滤表达式来利用这一漏洞,从而读取任意系统文件。

## 影响版本
- Riverbed SteelHead VCX255U 9.6.0a (已确认)

## 漏洞细节
- 漏洞存在于管理 web 接口的日志过滤功能中。
- 攻击者可通过 `log_filter` 端点使用 `filterStr` 参数提交精心构造的过滤表达式。
- 后台解析器允许执行文件扩展语法,导致攻击者能够通过日志查看接口读取任意系统文件。

## 影响
- 该漏洞允许经过身份验证的攻击者读取任意系统文件。
- 可能导致敏感信息泄露。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Riverbed SteelHead VCX Authenticated Arbitrary File Read via Log Filter Injection
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A path traversal vulnerability exists in Riverbed SteelHead VCX appliances (confirmed in VCX255U 9.6.0a) due to improper input validation in the log filtering functionality exposed via the management web interface. An authenticated attacker can exploit this flaw by submitting crafted filter expressions to the log_filter endpoint using the filterStr parameter. This input is processed by a backend parser that permits execution of file expansion syntax, allowing the attacker to retrieve arbitrary system files via the log viewing interface.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
信息暴露
来源:美国国家漏洞数据库 NVD
漏洞标题
Riverbed SteelHead VCX 信息泄露漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Riverbed SteelHead VCX是美国Riverbed公司的一个广域网优化软件。 Riverbed SteelHead VCX 9.6.0a版本存在安全漏洞,该漏洞源于日志过滤功能中的路径遍历问题,可能导致任意文件读取。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
信息泄露
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-34098 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-34098 的情报信息