支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2025-37181 基础信息
漏洞信息
                                        # EdgeConnect SD-WAN 认证SQL注入漏洞

## 概述
Web管理界面中存在SQL注入漏洞,允许经过身份验证的远程攻击者利用。

## 影响版本
未明确提及具体受影响版本。

## 细节
漏洞存在于EdgeConnect SD-WAN Orchestrator的Web管理界面中,由于对用户输入缺乏有效过滤或转义,导致经过身份验证的攻击者可构造恶意SQL语句。

## 影响
成功利用该漏洞可使攻击者在底层数据库上执行任意SQL命令,可能导致未经授权的数据访问或数据篡改。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Authenticated SQL Injection in EdgeConnect SD-WAN Orchestrator Web-Based Management Interface
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Vulnerabilities in the web-based management interface of EdgeConnect SD-WAN Orchestrator could allow an authenticated remote attacker to perform SQL injection attacks. Successful exploitation could allow an attacker to execute arbitrary SQL commands on the underlying database, potentially leading to unauthorized data access or data manipulation.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
HPE EdgeConnect SD-WAN Orchestrator 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
HPE EdgeConnect SD-WAN Orchestrator是美国HPE公司的一个集中式 SD-WAN 管理平台。可对 WAN 提供完全的可观察性和控制。 HPE EdgeConnect SD-WAN Orchestrator存在安全漏洞,该漏洞源于Web管理界面存在SQL注入,可能导致未经授权的数据访问或数据操纵。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-37181 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2025-37181 的情报信息

  • 标题: HPESBNW04992 rev.1 - Multiple Vulnerabilities HPE Aruba Networking EdgeConnect SD-WAN Orchestrator. -- 🔗来源链接

    标签:

    神龙速读:
                                            ### 关键漏洞信息

#### 漏洞概述
- **漏洞编号**: HPESBNW04992 rev.1
- **产品**: HPE Aruba Networking EdgeConnect SD-WAN Orchestrator
- **发布日期**: 2026-01-13
- **状态**: Confirmed
- **严重性**: High

#### 影响的产品版本
- EdgeConnect SD-WAN Orchestrator:
  - 9.6.x: 9.6.0
  - 9.5.x: 9.5.5 and below
  - 9.4.x: 9.4.4 and below

#### 漏洞详情
1. **CVE-2025-37181, CVE-2025-37182, CVE-2025-37183**
   - **类型**: Authenticated SQL Injection Vulnerabilities
   - **严重性**: High
   - **CVSSv3.1 Base Score**: 7.2
   - **描述**: 网络管理接口中的漏洞允许认证的远程攻击者执行SQL注入攻击。

2. **CVE-2025-37184**
   - **类型**: Unauthenticated Bypass Allows Multi-Factor Authentication Circumvention
   - **严重性**: Medium
   - **CVSSv3.1 Base Score**: 6.5
   - **描述**: Orchestrator服务中的漏洞允许未认证的远程攻击者绕过多因素认证要求。

3. **CVE-2025-37185**
   - **类型**: Authenticated Stored Cross-Site Scripting Vulnerabilities (XSS)
   - **严重性**: Medium
   - **CVSSv3.1 Base Score**: 5.5
   - **描述**: 网络管理接口中的漏洞允许认证的远程攻击者执行存储型跨站脚本攻击。

#### 解决方案
- **建议升级至以下版本**:
  - EdgeConnect SD-WAN Orchestrator 9.6.x: 9.6.1 and above
  - EdgeConnect SD-WAN Orchestrator 9.5.x: 9.5.6 and above

- **受影响版本已结束维护**:
  - EdgeConnect SD-WAN Orchestrator 9.3.x
  - EdgeConnect SD-WAN Orchestrator 9.2.x
```

这是从网页截图中提取出的关键漏洞信息,包括漏洞编号、受影响的产品版本、漏洞详情和解决方案。
    HPESBNW04992 rev.1 - Multiple Vulnerabilities HPE Aruba Networking EdgeConnect SD-WAN Orchestrator.
  • https://nvd.nist.gov/vuln/detail/CVE-2025-37181
四、漏洞 CVE-2025-37181 的评论
匿名用户
2026-01-15 06:08:09

Zaproxy alias impedit expedita quisquam pariatur exercitationem. Nemo rerum eveniet dolores rem quia dignissimos.

发表评论