CVE-2025-37103

چکیده

یک آسیب‌پذیری بحرانی به دلیل وجود اطلاعات کاربری هاردکد در رابط وب در دستگاه‌های HPE Networking Instant On Access Points شناسایی شده است. بهره‌برداری موفق از این آسیب پذیری به مهاجم اجازه می‌دهد احراز هویت دستگاه را دور زده و دسترسی مدیریتی کامل سیستم را به دست آورد.

توضیحات

در نرم‌افزار HPE Networking Instant On نسخه‌های 3.2.0.0 تا 3.2.0.1 اطلاعات ورود مدیریتی به‌صورت هاردکد شده در رابط وب قرار گرفته است. مهاجم در صورت اطلاع از این اطلاعات، بدون نیاز به احراز هویت، می‌تواند وارد سیستم شود و کنترل کامل آن را به دست آورد. این آسیب‌پذیری از راه دور قابل بهره‌برداری بوده، نیازی به تعامل کاربر ندارد و با دسترسی پایین نیز قابل اجرا است؛ بنابراین سطح ریسک آن بسیار بالا ارزیابی شده است.

این آسیب پذیری می‌تواند به تنهایی یا در ترکیب با آسیب‌پذیری‌ CVE-2025-37102 (اجرای فرمان از طریق CLI) مورد سوءاستفاده قرار گیرد و در نهایت منجر به کنترل کامل دستگاه شود.

شرکت HPE با انتشار نسخه 3.2.1.0 پچ امنیتی لازم را منتشر کرده و اعلام کرده است از هفته پایانی ژوئن 2025، به‌روزرسانی خودکار در دستگاه‌ها آغاز شده است. همچنین کاربران می‌توانند از طریق اپلیکیشن یا رابط وب اقدام به به‌روزرسانی دستی کنند.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

نتیجه گیری

سازمان‌ها باید در اسرع وقت نسبت به به‌روزرسانی دستگاه‌های HPE Networking Instant On خود به نسخه 3.2.1.0 یا بالاتر اقدام کنند. همچنین محدودسازی دسترسی به رابط‌های مدیریتی از طریق شبکه داخلی، اعمال فایروال و بررسی مداوم لاگ‌ها جهت شناسایی دسترسی‌های غیرمجاز توصیه می‌شود.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-37103
2. https://www.cvedetails.com/cve/CVE-2025-37103/
3. https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbnw04894en_us&docLocale=en_US
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-37103
5. https://vuldb.com/?id.315570
6. https://nvd.nist.gov/vuln/detail/CVE-2025-37103
7. https://cwe.mitre.org/data/definitions/798.html