支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2025-37170 基础信息
漏洞信息
                                        # AOS-8 认证命令注入漏洞

## 概述
在运行AOS-8操作系统的移动控制器的基于Web的管理界面中,存在经过身份验证的命令注入漏洞。

## 影响版本
运行AOS-8操作系统的移动控制器。

## 细节
漏洞存在于设备的Web管理接口中,允许经过身份验证的攻击者向底层操作系统注入并执行任意命令。

## 影响
成功利用该漏洞的认证攻击者可在底层操作系统中以高权限用户身份执行任意命令,可能导致系统完全失控。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Authenticated Command Injection Vulnerabilities in AOS-8 Web-Based Management Interface
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Authenticated command injection vulnerabilities exist in the web-based management interface of mobility conductors running AOS-8 operating system. Successful exploitation could allow an authenticated malicious actor to execute arbitrary commands as a privileged user on the underlying operating system.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
HPE AOS 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
HPE AOS是美国HPE公司的一款操作系统。 HPE AOS 8存在安全漏洞,该漏洞源于基于Web的管理界面存在命令注入漏洞,可能导致执行任意命令。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-37170 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2025-37170 的情报信息

  • 标题: HPESBNW04987 rev.1 - Multiple Vulnerabilities in HPE Aruba Networking AOS-8 and AOS-10 for Mobility Conductors, Controllers, and Gateways. -- 🔗来源链接

    标签:

    神龙速读:
                                            # 漏洞关键信息

## 漏洞概述
- **文档ID:** HPESBNW04987 rev.1
- **标题:** 多个漏洞影响HPE Aruba Networking AOS-8和AOS-10的移动性控制器、控制器和网关
- **潜在安全影响:** 远程任意命令执行、任意文件删除、执行任意命令、未经授权的任意命令执行、未经授权的文件系统写访问、缓冲区溢出、任意文件上传、堆栈溢出、输入验证

## 漏洞详情
### Unauthenticated Arbitrary File Deletion Vulnerability in AOS-8 Operating System (CVE-2025-37168)
- **描述:** 在AOS-8操作系统中存在一个任意文件删除漏洞,可能导致未认证的远程攻击者删除任意文件,进而导致受影响设备的服务拒绝条件。
- **发现:** 由n3k通过HPE Aruba Networking的漏洞赏金计划发现并报告。
- **CVSS v3.1 Base Score:** 8.2

### Stack Overflow Vulnerability in AOS-10 Web-Based Management Interface (CVE-2025-37169)
- **描述:** 在AOS-10的Web-Based管理接口中存在堆栈溢出漏洞,可能导致认证的恶意攻击者以特权用户身份在底层操作系统上执行任意代码。
- **发现:** 由zzcentury从Ubisectech Sirius Team发现并通过HPE Aruba Networking的漏洞赏金计划报告。
- **CVSS v3.1 Base Score:** 7.2

### Authenticated Command Injection Vulnerabilities in AOS-8 Web-Based Management Interface (CVE-2025-37170, CVE-2025-37171, CVE-2025-37172)
- **描述:** 在AOS-8的Web-Based管理接口中存在命令注入漏洞,可能导致认证的恶意攻击者以特权用户身份在底层操作系统上执行任意命令。
- **发现:** 由zzcentury从Ubisectech Sirius Team发现并通过HPE Aruba Networking的漏洞赏金计划报告。
- **CVSS v3.1 Base Score:** 7.2

## 解决方案
- **升级版本:**
  - AOS-10.7.x.x: 10.7.2.2及以上
  - AOS-10.4.x.x: 10.4.1.10及以上
  - AOS-8.13.x.x: 8.13.1.1及以上
  - AOS-8.10.x.x: 8.10.0.21及以上
- **下载地址:** 从HPE Networking Support Portal下载:https://networkingsslippe.com/downloads/fileTypes=SOFTWARE

## 其他信息
- **支持:** 有关实施本安全公告中建议的问题,请联系HPE Services支持渠道。
- **报告:** 如需报告任何HPE支持产品的潜在安全漏洞,请使用Web表单:https://www.hpe.com/info/report-security-vulnerability
    HPESBNW04987 rev.1 - Multiple Vulnerabilities in HPE Aruba Networking AOS-8 and AOS-10 for Mobility Conductors, Controllers, and Gateways.
  • https://nvd.nist.gov/vuln/detail/CVE-2025-37170
四、漏洞 CVE-2025-37170 的评论

暂无评论

发表评论