支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2025-37177 基础信息
漏洞信息
                                        # AOS-10/AOS-8 CLI 身份验证文件删除漏洞

## 概述
在运行 AOS-10 或 AOS-8 操作系统的移动控制器命令行界面中发现任意文件删除漏洞。

## 影响版本
AOS-8 和 AOS-10 操作系统。

## 细节
该漏洞存在于命令行接口中,经过身份验证的远程攻击者可利用该漏洞删除系统中的任意文件。

## 影响
成功利用此漏洞可能导致关键文件被删除,造成系统功能异常或服务中断。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Authenticated Arbitrary File Deletion Vulnerability in AOS-10 or AOS-8 Command Line Interface (CLI)
来源:美国国家漏洞数据库 NVD
漏洞描述信息
An arbitrary file deletion vulnerability has been identified in the command-line interface of mobility conductors running either AOS-10 or AOS-8 operating systems. Successful exploitation of this vulnerability could allow an authenticated remote malicious actor to delete arbitrary files within the affected system.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
HPE AOS 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
HPE AOS是美国HPE公司的一款操作系统。 HPE AOS10版本和8版本存在安全漏洞,该漏洞源于的命令行界面存在任意文件删除漏洞。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-37177 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2025-37177 的情报信息

  • 标题: HPESBNW04987 rev.1 - Multiple Vulnerabilities in HPE Aruba Networking AOS-8 and AOS-10 for Mobility Conductors, Controllers, and Gateways. -- 🔗来源链接

    标签:

    神龙速读:
                                            # 漏洞关键信息

## 漏洞概述
- **文档ID:** HPESBNW04987 rev.1
- **标题:** 多个漏洞影响HPE Aruba Networking AOS-8和AOS-10的移动性控制器、控制器和网关
- **潜在安全影响:** 远程任意命令执行、任意文件删除、执行任意命令、未经授权的任意命令执行、未经授权的文件系统写访问、缓冲区溢出、任意文件上传、堆栈溢出、输入验证

## 漏洞详情
### Unauthenticated Arbitrary File Deletion Vulnerability in AOS-8 Operating System (CVE-2025-37168)
- **描述:** 在AOS-8操作系统中存在一个任意文件删除漏洞,可能导致未认证的远程攻击者删除任意文件,进而导致受影响设备的服务拒绝条件。
- **发现:** 由n3k通过HPE Aruba Networking的漏洞赏金计划发现并报告。
- **CVSS v3.1 Base Score:** 8.2

### Stack Overflow Vulnerability in AOS-10 Web-Based Management Interface (CVE-2025-37169)
- **描述:** 在AOS-10的Web-Based管理接口中存在堆栈溢出漏洞,可能导致认证的恶意攻击者以特权用户身份在底层操作系统上执行任意代码。
- **发现:** 由zzcentury从Ubisectech Sirius Team发现并通过HPE Aruba Networking的漏洞赏金计划报告。
- **CVSS v3.1 Base Score:** 7.2

### Authenticated Command Injection Vulnerabilities in AOS-8 Web-Based Management Interface (CVE-2025-37170, CVE-2025-37171, CVE-2025-37172)
- **描述:** 在AOS-8的Web-Based管理接口中存在命令注入漏洞,可能导致认证的恶意攻击者以特权用户身份在底层操作系统上执行任意命令。
- **发现:** 由zzcentury从Ubisectech Sirius Team发现并通过HPE Aruba Networking的漏洞赏金计划报告。
- **CVSS v3.1 Base Score:** 7.2

## 解决方案
- **升级版本:**
  - AOS-10.7.x.x: 10.7.2.2及以上
  - AOS-10.4.x.x: 10.4.1.10及以上
  - AOS-8.13.x.x: 8.13.1.1及以上
  - AOS-8.10.x.x: 8.10.0.21及以上
- **下载地址:** 从HPE Networking Support Portal下载:https://networkingsslippe.com/downloads/fileTypes=SOFTWARE

## 其他信息
- **支持:** 有关实施本安全公告中建议的问题,请联系HPE Services支持渠道。
- **报告:** 如需报告任何HPE支持产品的潜在安全漏洞,请使用Web表单:https://www.hpe.com/info/report-security-vulnerability
    HPESBNW04987 rev.1 - Multiple Vulnerabilities in HPE Aruba Networking AOS-8 and AOS-10 for Mobility Conductors, Controllers, and Gateways.
  • https://nvd.nist.gov/vuln/detail/CVE-2025-37177
四、漏洞 CVE-2025-37177 的评论

暂无评论

发表评论