漏洞关键信息 漏洞概述 文档ID: HPESBNW04987 rev.1 标题: 多个漏洞影响HPE Aruba Networking AOS-8和AOS-10的移动性控制器、控制器和网关 潜在安全影响: 远程任意命令执行、任意文件删除、执行任意命令、未经授权的任意命令执行、未经授权的文件系统写访问、缓冲区溢出、任意文件上传、堆栈溢出、输入验证 漏洞详情 Unauthenticated Arbitrary File Deletion Vulnerability in AOS-8 Operating System (CVE-2025-37168) 描述: 在AOS-8操作系统中存在一个任意文件删除漏洞,可能导致未认证的远程攻击者删除任意文件,进而导致受影响设备的服务拒绝条件。 发现: 由n3k通过HPE Aruba Networking的漏洞赏金计划发现并报告。 CVSS v3.1 Base Score: 8.2 Stack Overflow Vulnerability in AOS-10 Web-Based Management Interface (CVE-2025-37169) 描述: 在AOS-10的Web-Based管理接口中存在堆栈溢出漏洞,可能导致认证的恶意攻击者以特权用户身份在底层操作系统上执行任意代码。 发现: 由zzcentury从Ubisectech Sirius Team发现并通过HPE Aruba Networking的漏洞赏金计划报告。 CVSS v3.1 Base Score: 7.2 Authenticated Command Injection Vulnerabilities in AOS-8 Web-Based Management Interface (CVE-2025-37170, CVE-2025-37171, CVE-2025-37172) 描述: 在AOS-8的Web-Based管理接口中存在命令注入漏洞,可能导致认证的恶意攻击者以特权用户身份在底层操作系统上执行任意命令。 发现: 由zzcentury从Ubisectech Sirius Team发现并通过HPE Aruba Networking的漏洞赏金计划报告。 CVSS v3.1 Base Score: 7.2 解决方案 升级版本: - AOS-10.7.x.x: 10.7.2.2及以上 - AOS-10.4.x.x: 10.4.1.10及以上 - AOS-8.13.x.x: 8.13.1.1及以上 - AOS-8.10.x.x: 8.10.0.21及以上 下载地址: 从HPE Networking Support Portal下载:https://networkingsslippe.com/downloads/fileTypes=SOFTWARE 其他信息 支持: 有关实施本安全公告中建议的问题,请联系HPE Services支持渠道。 报告: 如需报告任何HPE支持产品的潜在安全漏洞,请使用Web表单:https://www.hpe.com/info/report-security-vulnerability