支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2025-37173 基础信息
漏洞信息
                                        # AOS-10/AOS-8 认证API输入处理漏洞

## 概述
在运行 AOS-10 或 AOS-8 操作系统的移动控制器的基于 Web 的管理界面中,存在输入处理不当的漏洞。

## 影响版本
AOS-8 和 AOS-10 操作系统版本。

## 细节
该漏洞源于对用户输入缺乏充分验证和处理,存在于设备的 Web 管理接口中。经过身份验证的攻击者可利用此漏洞提交恶意构造的输入。

## 影响
成功利用该漏洞可使具有有效凭据的恶意用户在受影响系统上触发非预期行为。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Improper Input Handling Vulnerability in Authenticated Configuration API Endpoint (AOS-10/AOS-8 Web UI)
来源:美国国家漏洞数据库 NVD
漏洞描述信息
An improper input handling vulnerability exists in the web-based management interface of mobility conductors running either AOS-10 or AOS-8 operating systems. Successful exploitation could allow an authenticated malicious actor with valid credentials to trigger unintended behavior on the affected system.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
HPE AOS 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
HPE AOS是美国HPE公司的一款操作系统。 HPE AOS存在安全漏洞,该漏洞源于基于Web的管理界面输入处理不当,可能触发意外行为。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-37173 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2025-37173 的情报信息

  • 标题: HPESBNW04987 rev.1 - Multiple Vulnerabilities in HPE Aruba Networking AOS-8 and AOS-10 for Mobility Conductors, Controllers, and Gateways. -- 🔗来源链接

    标签:

    神龙速读:
                                            # 漏洞关键信息

## 漏洞概述
- **文档ID:** HPESBNW04987 rev.1
- **标题:** 多个漏洞影响HPE Aruba Networking AOS-8和AOS-10的移动性控制器、控制器和网关
- **潜在安全影响:** 远程任意命令执行、任意文件删除、执行任意命令、未经授权的任意命令执行、未经授权的文件系统写访问、缓冲区溢出、任意文件上传、堆栈溢出、输入验证

## 漏洞详情
### Unauthenticated Arbitrary File Deletion Vulnerability in AOS-8 Operating System (CVE-2025-37168)
- **描述:** 在AOS-8操作系统中存在一个任意文件删除漏洞,可能导致未认证的远程攻击者删除任意文件,进而导致受影响设备的服务拒绝条件。
- **发现:** 由n3k通过HPE Aruba Networking的漏洞赏金计划发现并报告。
- **CVSS v3.1 Base Score:** 8.2

### Stack Overflow Vulnerability in AOS-10 Web-Based Management Interface (CVE-2025-37169)
- **描述:** 在AOS-10的Web-Based管理接口中存在堆栈溢出漏洞,可能导致认证的恶意攻击者以特权用户身份在底层操作系统上执行任意代码。
- **发现:** 由zzcentury从Ubisectech Sirius Team发现并通过HPE Aruba Networking的漏洞赏金计划报告。
- **CVSS v3.1 Base Score:** 7.2

### Authenticated Command Injection Vulnerabilities in AOS-8 Web-Based Management Interface (CVE-2025-37170, CVE-2025-37171, CVE-2025-37172)
- **描述:** 在AOS-8的Web-Based管理接口中存在命令注入漏洞,可能导致认证的恶意攻击者以特权用户身份在底层操作系统上执行任意命令。
- **发现:** 由zzcentury从Ubisectech Sirius Team发现并通过HPE Aruba Networking的漏洞赏金计划报告。
- **CVSS v3.1 Base Score:** 7.2

## 解决方案
- **升级版本:**
  - AOS-10.7.x.x: 10.7.2.2及以上
  - AOS-10.4.x.x: 10.4.1.10及以上
  - AOS-8.13.x.x: 8.13.1.1及以上
  - AOS-8.10.x.x: 8.10.0.21及以上
- **下载地址:** 从HPE Networking Support Portal下载:https://networkingsslippe.com/downloads/fileTypes=SOFTWARE

## 其他信息
- **支持:** 有关实施本安全公告中建议的问题,请联系HPE Services支持渠道。
- **报告:** 如需报告任何HPE支持产品的潜在安全漏洞,请使用Web表单:https://www.hpe.com/info/report-security-vulnerability
    HPESBNW04987 rev.1 - Multiple Vulnerabilities in HPE Aruba Networking AOS-8 and AOS-10 for Mobility Conductors, Controllers, and Gateways.
  • https://nvd.nist.gov/vuln/detail/CVE-2025-37173
四、漏洞 CVE-2025-37173 的评论

暂无评论

发表评论