文章总结： HPE电信服务激活器（HPESA）因依赖的UndertowHTTP服务器库存在Host标头验证缺陷，导致严重漏洞CVE-2025-12543（CVSS9.6）。攻击者可利用恶意Host标头污染缓存、扫描内网或劫持会话，威胁电信服务编排安全。该漏洞影响10.5.0之前版本，建议用户立即升级至v10.5.0以修复。 综合评分： 78 文章分类： 漏洞预警,应用安全,网络安全,供应链安全

HPE电信服务激活器遭遇严重缺陷（CVSS 9.6）

sec随谈 sec随谈

sec随谈

2026年2月23日 15:32 中国香港

电信运营商依赖复杂的编排工具来维持全球互联，但新近披露的一个漏洞威胁着这些运营的核心。惠普企业（Hewlett Packard Enterprise）旗下领先的服务配置和激活软件平台 HPE Service Activator (HPESA) 中发现了一个严重的安全 漏洞。

HPESA一旦集成到客户服务提供商 (CSP) 的环境中，即可自动执行在固定、移动或互联网环境下创建和激活新电信服务的关键流程。由于HPESA软件涉及整个服务交付流程——包括订单管理、资源清单和服务激活——因此，该层面的任何疏忽都可能产生连锁反应。

该漏洞被追踪为 CVE-2025-12543，CVSS 评分为 9.6，该漏洞实际上并非源自 HPE 的专有代码，而是源自核心依赖项。

该漏洞存在于Undertow HTTP 服务器核心库中，该库被 WildFly、JBoss EAP 以及其他运行在该平台底层的 Java 应用程序所使用。根据安全摘要，Undertow 库的根本问题在于“未能正确验证传入 HTTP 请求中的 Host 标头”。

由于服务器未能验证这一关键的 HTTP 流量，因此包含格式错误或完全恶意 Host 标头的请求会被处理并接受，而不会被拒绝。

这种安全措施的缺失为各种严重的攻击打开了方便之门。攻击者可以利用这种验证漏洞来污染网页缓存，并执行未经授权的内部网络扫描。此外，攻击者还可以利用此漏洞劫持用户会话，如同在节日上分发荧光棒一样，肆意散播对网络的未经授权的访问权限，从而彻底破坏云服务提供商 (CSP) 环境的完整性。

该漏洞专门影响 HPE Telco Service Activator 10.5.0 之前的版本。

使用该平台的网络管理员和通信服务提供商 (CSP) 务必立即应用供应商提供的解决方案。HPE 已发布软件更新以修复此漏洞，用户必须升级到 HPE Telco Service Activator v10.5.0，以确保其电信基础设施免受此类基于 HTTP 的攻击。

参考链接：

https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbnw05011en_us&docLocale=en_US#hpesbnw05011-rev-1-telco-service-activator-imprope-0

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec随谈 sec随谈 sec随谈《HPE电信服务激活器遭遇严重缺陷（CVSS 9.6）》