CVE-2026-23825HPE AOS-8和AOS-10操作系统的协议处理组件中存在安全漏洞。该漏洞源于对输入数据的验证不足。未经身份验证的攻击者可以通过向受影响的服务发送特制的网络消息来利用此漏洞。成功利用该漏洞可能导致关键系统进程终止,从而引发拒绝服务条件,严重影响系统的可用性。
该漏洞位于HPE AOS-8及AOS-10操作系统的协议处理模块中。其根本原因是系统在处理特定网络协议消息时,未能对输入数据进行充分且严格的校验。攻击者无需进行身份认证(PR:N),也无需用户交互(UI:N),即可通过网络(AV:N)发起攻击。具体的利用方式涉及构造恶意的网络数据包,这些数据包包含畸形的字段或异常的长度参数。当目标设备的协议处理组件解析这些特制消息时,由于缺乏边界检查或异常处理机制,会触发逻辑错误或内存破坏。这会导致负责协议处理的关键系统进程崩溃。由于该进程对系统运行至关重要,其崩溃将直接导致网络服务中断,形成拒绝服务攻击。