HIGHCVE-2025-13914CVSS 8.7

Apstra: 受管设备 SSH 主机密钥验证漏洞

平台

linux

组件

apstra

修复版本

6.1.1

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2025-13914 是 Juniper Networks Apstra 中 SSH 实现的密钥交换漏洞，由于 SSH 主机密钥验证不足，攻击者可以执行中间人攻击，冒充管理设备。该漏洞可能导致攻击者捕获用户凭据，对网络安全构成严重威胁。此问题影响 Apstra 的所有版本，包括 0.0.0 到 6.1.1 版本。Juniper Networks 已经发布了 6.1.1 版本来修复此漏洞。

影响与攻击场景

Apstra 的 CVE-2025-13914 漏洞，CVSS 评分为 8.7，对 Apstra 管理的网络构成重大安全风险。此缺陷与 SSH 实现相关，允许未经身份验证的攻击者执行“中间人”（MITM）攻击并冒充管理设备。不充分的 SSH 主机密钥验证允许攻击者拦截并操纵 Apstra 与管理设备之间的通信，从而可能危及数据的机密性和完整性。主要风险是捕获用户凭据，这可能使攻击者获得对网络及其资源的未经授权的访问。

利用背景

能够访问 Apstra 运行的网络中的攻击者可以利用此漏洞。攻击者将拦截 Apstra 和管理设备之间的 SSH 流量，并提供虚假的主机密钥。Apstra 未能正确验证这些密钥，将与攻击者建立连接，从而允许攻击者拦截和操纵传输的数据。此攻击特别危险，因为它相对容易执行，并且可能导致严重后果，例如未经授权访问敏感信息和控制网络设备。缺少 KEV（实体身份验证无密钥交换）会使情况恶化。

哪些人处于风险中翻译中…

Organizations heavily reliant on Juniper Apstra for network automation and management are particularly at risk. This includes those with complex network topologies and a high volume of SSH connections between Apstra and managed devices. Environments with weak SSH key management practices or limited network segmentation are also more vulnerable.

检测步骤翻译中…

• linux / server:

journalctl -u apstra -f | grep "SSH_MSG_NEW_SESSION"

• linux / server:

ss -t ssh | grep -i 'established' | awk '{print $5}' | sort | uniq -c

• generic web: Use a network monitoring tool to inspect SSH traffic between Apstra and managed devices for suspicious host key exchanges or unexpected connections.

攻击时间线

2026-04-09Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告2 份威胁报告

EPSS

0.04% (11% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响total

受影响的软件

组件apstra

供应商Juniper Networks

影响范围修复版本

0.0.0 – 6.1.06.1.1

弱点分类 (CWE)

CWE-322

时间线

已保留2025-12-02
发布日期2026-04-09
修改日期2026-04-14
EPSS 更新日期2026-04-17

缓解措施和替代方案

CVE-2025-13914 的主要缓解措施是将 Apstra 升级到 6.1.1 或更高版本。此版本包含修复程序，可加强 SSH 主机密钥验证，从而防止 MITM 攻击。在升级过程中，建议实施额外的安全措施，例如对 Apstra 和管理设备访问使用多因素身份验证 (MFA)。同样重要的是，审查和加强网络安全策略，以检测和响应潜在的入侵尝试。应优先升级，以尽量减少此关键漏洞的暴露窗口。

修复方法翻译中…

Actualice Apstra a la versión 6.1.1 o posterior para mitigar la vulnerabilidad de validación de la clave del host SSH. Esta actualización corrige la forma en que Apstra valida las claves del host SSH, previniendo ataques de intermediario y protegiendo las credenciales del usuario.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2025-13914 是什么 — Apstra 中的漏洞？

MITM 攻击发生在攻击者拦截两个方之间的通信，并冒充其中一方时。这使攻击者能够窃听、修改或阻止通信。

Apstra 中的 CVE-2025-13914 是否会影响我？

SSH 主机密钥验证是一个过程，用于验证您正在连接的 SSH 服务器的真实性。它确保您连接到正确的服务器，而不是冒名顶替者。

如何修复 Apstra 中的 CVE-2025-13914？

如果无法立即升级，请实施额外的安全措施，例如 MFA，并审查网络安全策略。积极监控网络是否存在可疑活动。

CVE-2025-13914 是否正在被积极利用？

入侵检测系统 (IDS) 和入侵防御系统 (IPS) 可以帮助检测 MITM 攻击。也可以使用网络流量分析工具。

在哪里可以找到 Apstra 关于 CVE-2025-13914 的官方安全通告？

请参阅 Apstra 6.1.1 的发行说明以及国家漏洞数据库 (NVD) 等信息安全资源。