关键漏洞信息 漏洞标题 HP Aruba Networking AOS-10 GW and AOS-8 Mobility Conductor, Controllers, and Gateways - Multiple Vulnerabilities 影响产品 HP Aruba Networking - Mobility Conductor - Mobility Controller - WLAN and SD-WAN Gateways Managed by HP Aruba Networking Central 受影响的软件版本 AOS-10.x x.x 7.1.1 and below AOS-10.x x.x 4.1.6 and below AOS-12.x x.x 12.0.3 and above AOS-8.3.x x.x 10.0.5 and below 不受影响的产品 任何其他未在上述列表中明确提及的HP Aruba Networking产品和软件版本均不受这些漏洞影响。 漏洞详情 认证远程代码执行漏洞 (CVE-2025-27082) 描述: 存在于AOS-10 GW和AOS-8 Controller/Mobility Conductor Web-Based Management Interface中的认证远程代码执行漏洞。 CVSS v3.1 基本分数: 7.2 严重性: 高 发现者: ZZ from Moonlight Bug Hunter 和 LiUPENGs via HPE iDefense Security Response Team 解决方法: 对于AOS-10 GW,禁止从任何网络到管理IP地址的网关的TCP端口4434访问。对于运行AOS-8的系统,目前没有解决方法。 认证命令注入漏洞 (CVE-2025-27083) 描述: 存在于AOS-10 GW和AOS-8 Controller/Mobility Conductor Web-Based Management Interface中的认证命令注入漏洞。 CVSS v3.1 基本分数: 7.2 严重性: 高 发现者: ZZ from Moonlight Bug Hunter 和 LiUPENGs via HPE iDefense Security Response Team 解决方法: 同上。 反射型跨站脚本(XSS)漏洞 (CVE-2025-27084) 描述: 存在于AOS-10 GW和AOS-8 Controller/Mobility Conductor Web-Based Management Interface中的反射型跨站脚本(XSS)漏洞。 CVSS v3.1 基本分数: 6.4 严重性: 中等 发现者: ZZ from Moonlight Bug Hunter 和 LiUPENGs via HPE iDefense Security Response Team 解决方法: 同上。 任意文件下载漏洞 (CVE-2025-27085) 描述: 存在于AOS-10 GW和AOS-8 Controller/Mobility Conductor Web-Based Management Interface中的任意文件下载漏洞。 CVSS v3.1 基本分数: 4.9 严重性: 中等 发现者: ZZ from Moonlight Bug Hunter 和 LiUPENGs via HPE iDefense Security Response Team 解决方法: 同上。 解决方案 升级Mobility Conductors、Controllers和Gateways到适用的最新AOS-10或AOS-8版本以解决这些漏洞。 支持与公开讨论 HPE Aruba Networking对这些特定漏洞的任何公共讨论或公开代码利用不知情。