CVE-2025-37149：HPE ProLiant RL300 Gen11 UEFI固件越界读取漏洞

漏洞信息

漏洞编号

CVE-2025-37149

漏洞类型

越界读取（Out-of-Bounds Read）

CVSS评分

6.0 中危

攻击向量

本地 (AV:L)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

HPE ProLiant RL300 Gen11 Server（UEFI固件）

漏洞概述

CVE-2025-37149是HPE ProLiant RL300 Gen11服务器的UEFI固件中发现的一个潜在越界读取（Out-of-Bounds Read）漏洞。该漏洞由HPE安全团队（[email protected]）发现并披露，披露日期为2025年10月14日。根据CVSS 3.1评分体系，该漏洞评分为6.0分，严重等级为MEDIUM（中危）。

该漏洞属于本地攻击向量（AV:L），攻击者需要拥有高权限（PR:H）才能利用，且不需要用户交互（UI:N）。尽管攻击条件相对受限，但漏洞的影响范围已发生变化（S:C），表明该漏洞的影响范围可超出其直接所在的组件。最值得关注的是其对机密性的影响为高（C:H），意味着攻击者可以利用该越界读取漏洞获取敏感信息，包括可能存储在内存中的固件配置、密钥或其他受保护的数据。完整性和可用性不受影响（I:N, A:N）。

HPE ProLiant RL300 Gen11是基于ARM架构的服务器产品，UEFI固件作为系统启动和硬件初始化的核心组件，其安全性至关重要。该漏洞可能允许具有本地高权限访问的攻击者读取超出预期边界的内存数据，从而导致敏感信息泄露。HPE已发布安全公告（hpesbhf04952en_us）提供修复方案。

技术细节

该漏洞是HPE ProLiant RL300 Gen11服务器UEFI固件中的越界读取漏洞。越界读取（Out-of-Bounds Read）是一种常见的内存安全漏洞，通常发生在程序读取数据时未正确验证索引或缓冲区边界的情况下。

在UEFI固件环境中，越界读取漏洞可能出现在以下场景：
1. 固件代码在处理输入参数（如通过UEFI变量、配置表或协议接口传递的数据）时，未对缓冲区大小或偏移量进行充分验证；
2. 固件中的数据解析例程在遍历结构化数据时，未检查数组边界；
3. 固件与硬件交互过程中，读取寄存器或内存映射区域时超出预期范围。

攻击利用方式：攻击者需要首先获得对系统的本地高权限访问（如管理员或root权限），然后通过特定方式触发固件中的越界读取操作。由于UEFI固件在系统启动早期执行，且具有对系统内存的直接访问权限，越界读取可能泄露以下敏感信息：
- 固件中的加密密钥或证书；
- 系统配置信息；
- 其他安全敏感数据。

该漏洞的影响范围标记为Changed（S:C），意味着利用该漏洞可能影响到超出UEFI固件本身的范围，增加了其潜在危害性。

攻击链分析

STEP 1

步骤1：获取本地高权限访问

攻击者首先需要获得对HPE ProLiant RL300 Gen11服务器的本地高权限访问（PR:H），例如通过管理员账户、物理访问或提权攻击获得系统管理员权限。

STEP 2

步骤2：识别UEFI固件接口

攻击者识别目标系统上UEFI固件暴露的接口（如UEFI变量、协议接口或配置工具），这些接口可被用于与固件进行交互。

STEP 3

步骤3：构造恶意输入触发越界读取

攻击者构造特定输入参数（如超长缓冲区、异常偏移量或畸形数据结构），通过UEFI接口传递给固件，触发越界读取漏洞。

STEP 4

步骤4：读取越界内存数据

固件在处理恶意输入时执行越界读取操作，读取超出预期缓冲区边界的数据，可能包含固件密钥、证书或其他敏感信息。

STEP 5

步骤5：信息泄露与后续利用

攻击者获取泄露的敏感数据，可能用于进一步的攻击，如绕过安全机制、伪造身份或提取加密密钥，影响范围可能超出固件本身（S:C）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-37149 PoC - Conceptual Proof of Concept
# Out-of-Bounds Read in HPE ProLiant RL300 Gen11 UEFI Firmware
# Note: This is a conceptual PoC. Actual exploitation requires local high-privilege access.

import struct

# UEFI variable name and GUID related to the vulnerable firmware component
TARGET_VARIABLE = b"HpeFirmwareConfig"
TARGET_GUID = "{8BE4DF61-93CA-11d2-AA0D-00E098032B8C}"  # EFI_GLOBAL_VARIABLE_GUID

def trigger_oob_read(base_buffer, requested_offset, buffer_size):
    """
    Simulate triggering out-of-bounds read in UEFI firmware.
    The vulnerability occurs when the firmware reads beyond allocated buffer.
    """
    print(f"[*] Attempting OOB read on UEFI firmware buffer")
    print(f"[*] Buffer size: {buffer_size}")
    print(f"[*] Requested offset: {requested_offset}")

    # Check if the requested offset exceeds buffer boundary
    if requested_offset >= buffer_size:
        print(f"[!] Out-of-bounds read detected!")
        print(f"[!] Reading {requested_offset - buffer_size + 1} bytes beyond buffer")
        # In real scenario, firmware would read sensitive data from adjacent memory
        leaked_data = base_buffer[buffer_size:requested_offset + 1]
        return leaked_data
    else:
        return base_buffer[:requested_offset + 1]

def exploit():
    """
    Main exploit function - requires local high-privilege access (PR:H)
    """
    # Allocate normal firmware buffer (e.g., 256 bytes)
    firmware_buffer = bytearray(256)

    # Fill with dummy data
    for i in range(256):
        firmware_buffer[i] = i & 0xFF

    # Trigger OOB read by requesting offset beyond buffer
    # This simulates the vulnerable code path in UEFI firmware
    try:
        leaked = trigger_oob_read(firmware_buffer, requested_offset=512, buffer_size=256)
        print(f"[+] Leaked {len(leaked)} bytes of adjacent memory")
        print(f"[+] Potential sensitive data: {leaked.hex()}")
    except Exception as e:
        print(f"[-] Exploit failed: {e}")

if __name__ == "__main__":
    print("CVE-2025-37149 - HPE ProLiant RL300 Gen11 UEFI OOB Read PoC")
    print("Requires local high-privilege access (PR:H)")
    print("Impact: High confidentiality disclosure (C:H)")
    exploit()

影响范围

HPE ProLiant RL300 Gen11 Server（UEFI固件，具体受影响版本请参考HPE安全公告hpesbhf04952en_us）

防御指南

临时缓解措施

在应用正式补丁之前，建议采取以下临时缓解措施：1）限制对服务器的物理和远程管理访问，确保只有授权管理员能访问UEFI管理接口；2）通过iLO设置访问控制列表（ACL），限制可执行固件更新和配置操作的用户；3）监控系统日志，检测异常的固件调用或配置变更；4）启用UEFI安全启动（Secure Boot）以防止未授权的固件组件加载；5）将服务器部署在受控的物理环境中，防止未授权的本地访问。