慧与HPE Instant On设备存在硬编码凭证漏洞 可获取管理员权限
💡
原文中文,约900字,阅读约需2分钟。
📝
内容提要
HPE发布安全更新,修复Instant On接入点设备中的高危漏洞CVE-2025-37103(CVSS评分9.8),攻击者可绕过身份验证获取管理员权限。同时修复CVE-2025-37102(评分7.2),可能被组合利用。建议用户尽快更新以防潜在威胁。
🎯
关键要点
- HPE发布安全更新,修复Instant On接入点设备中的高危漏洞CVE-2025-37103,CVSS评分9.8。
- CVE-2025-37103漏洞允许攻击者绕过身份验证,获取管理员权限。
- HPE同时修复了CVE-2025-37102漏洞,CVSS评分7.2,可能被组合利用。
- 攻击者可通过组合利用这两个漏洞形成攻击链,先获取管理员权限,再执行恶意命令。
- HPE确认漏洞由Ubisectech Sirius团队发现并报告,已在软件3.2.1.0及以上版本中修复。
- 其他设备如Instant On交换机不受此漏洞影响,用户应尽快更新以防潜在威胁。
❓
延伸问答
CVE-2025-37103漏洞的影响是什么?
CVE-2025-37103漏洞允许攻击者绕过身份验证,获取管理员权限,CVSS评分为9.8。
HPE修复了哪些漏洞?
HPE修复了CVE-2025-37103和CVE-2025-37102两个漏洞。
用户应该如何应对这些漏洞?
用户应尽快更新HPE Networking Instant On软件至3.2.1.0及以上版本,以防潜在威胁。
CVE-2025-37102漏洞的风险是什么?
CVE-2025-37102漏洞允许攻击者在提升权限后,以特权用户身份执行任意命令,CVSS评分为7.2。
这两个漏洞是如何被利用的?
攻击者可以组合利用这两个漏洞,先获取管理员权限,再通过命令行界面注入恶意命令。
哪些设备不受这些漏洞影响?
其他设备如Instant On交换机不受CVE-2025-37103和CVE-2025-37102漏洞影响。
🏷️
标签
➡️
