支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2025-37184 基础信息
漏洞信息
                                        # 未认证绕过漏洞绕过多因素认证

## 概述
Orchestrator服务中存在一个漏洞,允许未经身份验证的远程攻击者绕过多因素认证(MFA)要求。

## 影响版本
未明确提及具体版本。

## 细节
该漏洞使攻击者能够在未通过多因素认证的情况下,创建具有管理员权限的用户账户。攻击者可利用此缺陷绕过安全认证机制,直接获得系统管理权限。

## 影响
成功利用此漏洞将导致系统安全访问机制失效,攻击者可以创建管理员账户,完全破坏系统的访问控制和安全完整性。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Unauthenticated Bypass Allows Multi-Factor Authentication Circumvention
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability exists in an Orchestrator service that could allow an unauthenticated remote attacker to bypass multi-factor authentication requirements. Successful exploitation could allow an attacker to create an admin user account without the necessary multi-factor authentication, thereby compromising the integrity of secured access to the system.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Hewlett Packard Enterprise Orchestrator 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Hewlett Packard Enterprise Orchestrator是美国慧与(Hewlett Packard Enterprise)公司的一个硬件设备。提供存储功能。 Hewlett Packard Enterprise Orchestrator存在安全漏洞,该漏洞源于可绕过多因素身份验证要求,可能导致创建管理员用户账户。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-37184 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2025-37184 的情报信息

  • 标题: HPESBNW04992 rev.1 - Multiple Vulnerabilities HPE Aruba Networking EdgeConnect SD-WAN Orchestrator. -- 🔗来源链接

    标签:

    神龙速读:
                                            ### 关键漏洞信息

#### 漏洞概述
- **漏洞编号**: HPESBNW04992 rev.1
- **产品**: HPE Aruba Networking EdgeConnect SD-WAN Orchestrator
- **发布日期**: 2026-01-13
- **状态**: Confirmed
- **严重性**: High

#### 影响的产品版本
- EdgeConnect SD-WAN Orchestrator:
  - 9.6.x: 9.6.0
  - 9.5.x: 9.5.5 and below
  - 9.4.x: 9.4.4 and below

#### 漏洞详情
1. **CVE-2025-37181, CVE-2025-37182, CVE-2025-37183**
   - **类型**: Authenticated SQL Injection Vulnerabilities
   - **严重性**: High
   - **CVSSv3.1 Base Score**: 7.2
   - **描述**: 网络管理接口中的漏洞允许认证的远程攻击者执行SQL注入攻击。

2. **CVE-2025-37184**
   - **类型**: Unauthenticated Bypass Allows Multi-Factor Authentication Circumvention
   - **严重性**: Medium
   - **CVSSv3.1 Base Score**: 6.5
   - **描述**: Orchestrator服务中的漏洞允许未认证的远程攻击者绕过多因素认证要求。

3. **CVE-2025-37185**
   - **类型**: Authenticated Stored Cross-Site Scripting Vulnerabilities (XSS)
   - **严重性**: Medium
   - **CVSSv3.1 Base Score**: 5.5
   - **描述**: 网络管理接口中的漏洞允许认证的远程攻击者执行存储型跨站脚本攻击。

#### 解决方案
- **建议升级至以下版本**:
  - EdgeConnect SD-WAN Orchestrator 9.6.x: 9.6.1 and above
  - EdgeConnect SD-WAN Orchestrator 9.5.x: 9.5.6 and above

- **受影响版本已结束维护**:
  - EdgeConnect SD-WAN Orchestrator 9.3.x
  - EdgeConnect SD-WAN Orchestrator 9.2.x
```

这是从网页截图中提取出的关键漏洞信息,包括漏洞编号、受影响的产品版本、漏洞详情和解决方案。
    HPESBNW04992 rev.1 - Multiple Vulnerabilities HPE Aruba Networking EdgeConnect SD-WAN Orchestrator.
  • https://nvd.nist.gov/vuln/detail/CVE-2025-37184
四、漏洞 CVE-2025-37184 的评论
匿名用户
2026-01-15 06:08:11

Zaproxy alias impedit expedita quisquam pariatur exercitationem. Nemo rerum eveniet dolores rem quia dignissimos.

发表评论