CVE-2025-2026 - “HPE NPort 6100-G2/6200-G2 Web API 空字节注入漏洞”

概述

漏洞时间线

描述

NPort 6100-G2/6200-G2系列受到一个高危漏洞（CVE-2025-2026）的影响，该漏洞允许远程攻击者通过设备的Web API执行空字节注入。这可能导致设备意外重启，并造成拒绝服务（DoS）状况。

一个具有Web只读权限的已认证远程攻击者可以利用存在漏洞的API注入恶意输入。成功利用可能导致设备重启，中断正常操作并造成临时性的拒绝服务。

信息

发布日期： 2025年12月31日 上午8:15

最后修改日期： 2025年12月31日 上午8:15

远程利用： 是！

来源： psirt@moxa.com

受影响产品

以下产品受到CVE-2025-2026漏洞的影响。即使cvefeed.io知道受影响产品的确切版本，这些信息也未在下表中体现。

尚无受影响产品记录

受影响供应商总数： 0 | 产品总数： 0

CVSS 评分

通用漏洞评分系统是一个用于评估软件和系统中漏洞严重性的标准化框架。我们收集并展示每个CVE来自不同来源的CVSS评分。

解决方案

修补设备以防止通过Web API进行空字节注入。

• 应用供应商补丁以解决注入漏洞。
• 限制对Web API的访问。
• 监控设备是否存在意外重启。

公告、解决方案和工具参考

在这里，您将找到一份精选的外部链接列表，提供与CVE-2025-2026相关的深入信息、实用解决方案和宝贵工具。

CWE - 常见缺陷枚举

CVE标识特定的漏洞实例，而CWE则对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2025-2026与以下CWE相关：

• CWE-170： 空终止符不当

常见攻击模式枚举和分类（CAPEC）

常见攻击模式枚举和分类存储攻击模式，这些模式描述了攻击者利用CVE-2025-2026弱点的常见属性和方法。

我们扫描GitHub仓库以检测新的概念验证漏洞利用。以下列表是在GitHub上发布（按最近更新排序）的公共漏洞利用和概念验证的集合。

结果限于前15个仓库，以防性能问题。

以下列表是文章中任何地方提及了CVE-2025-2026漏洞的新闻。

结果限于前20篇新闻文章，以防性能问题。

下表列出了随时间对CVE-2025-2026漏洞所做的更改。漏洞历史记录详细信息有助于了解漏洞的演变，并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。

EPSS是对未来30天内观察到利用活动概率的每日估计。下图显示了该漏洞的EPSS分数历史。

注入

漏洞评分详情

CVSS 4.0

• 基础CVSS分数： 7.1