Μια κρίσιμη ειδοποίηση ασφαλείας προειδοποιεί τους πελάτες για μια σοβαρή ευπάθεια στο λογισμικό HPE OneView που θα μπορούσε να επιτρέψει σε απομακρυσμένους εισβολείς να εκτελέσουν αυθαίρετο κώδικα χωρίς έλεγχο ταυτότητας.
Το ελάττωμα, που παρακολουθείται ως CVE-2025-37164, φέρει βαθμολογία σοβαρότητας CVSS 10,0, υποδηλώνοντας μέγιστο κρίσιμο κίνδυνο.
| Ιδιότης | Καθέκαστα |
|---|---|
| Αναγνωριστικό CVE | CVE-2025-37164 |
| Προϊόν | Λογισμικό HPE OneView |
| Τύπος ευπάθειας | Απομακρυσμένη εκτέλεση κώδικα |
| Βαθμολογία CVSS | 10.0 (Κρίσιμο) |
| Διάνυσμα CVSS | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
| Διάνυσμα επίθεσης | Δίκτυο |
Το HPE OneView Flaw ενεργοποιεί την απομακρυσμένη εκτέλεση κώδικα
Η ευπάθεια επηρεάζει το λογισμικό HPE OneView σε όλες τις εκδόσεις πριν από την έκδοση 11.00. Οι μη επαληθευμένοι απομακρυσμένοι εισβολείς θα μπορούσαν να το εκμεταλλευτούν για να επιτύχουν απομακρυσμένη εκτέλεση κώδικα.
Η επίθεση δεν απαιτεί αλληλεπίδραση με τον χρήστη ή ειδικά προνόμια πρόσβασης, καθιστώντας την άμεσα εκμεταλλεύσιμη μέσω του δικτύου. Η ευπάθεια επηρεάζει την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα των επηρεαζόμενων συστημάτων.
Σύμφωνα με το ενημερωτικό δελτίο ασφαλείας της HPE HPESBGN04985, το ελάττωμα αποκαλύφθηκε υπεύθυνα από τον ερευνητή ασφαλείας brocked200 (Nguyen Quoc Khanh) στις 16 Δεκεμβρίου 2025.
Η διανυσματική συμβολοσειρά CVSS CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A: H υποδηλώνει ότι η ευπάθεια είναι εκμεταλλεύσιμη μέσω του δικτύου χωρίς κανέναν απαιτούμενο έλεγχο ταυτότητας ή αλληλεπίδραση με τον χρήστη.
Η χαμηλή πολυπλοκότητα επίθεσης σημαίνει ότι οι εισβολείς μπορούν να εκτελέσουν αξιόπιστα το exploit με απλές τεχνικές.
Η HPE συνιστά άμεση δράση για όλους τους πελάτες που επηρεάζονται. Η κύρια λύση είναι η αναβάθμιση σε HPE OneView v11.00 ή νεότερη έκδοση μέσω της πύλης My HPE Software Center.
Οι οργανισμοί που εκτελούν εκδόσεις OneView 5.20 έως 10.20 μπορούν να εφαρμόσουν μια αποκλειστική επείγουσα επιδιόρθωση ασφαλείας που διατίθεται από τα κανάλια υποστήριξης της HPE.
Η επείγουσα επιδιόρθωση ασφαλείας πρέπει να εφαρμοστεί ξανά μετά την αναβάθμιση από το HPE OneView 6.60.xx σε 7.00.00, συμπεριλαμβανομένων των λειτουργιών επαναεικόνασης του HPE Synergy Composer.
Οι διαχειριστές ασφαλείας που διαχειρίζονται τις αναπτύξεις του HPE OneView θα πρέπει να δώσουν προτεραιότητα στην επιδιόρθωση αυτών των συστημάτων, δεδομένης της κρίσιμης σοβαρότητας και της ευκολίας εκμετάλλευσης.
HPE συνιστά επανεξετάζοντας τακτικά τις διαδικασίες διαχείρισης και ασφάλειας του συστήματος για τη διατήρηση της ακεραιότητας του συστήματος.
Οι οργανισμοί που δεν μπορούν να επιδιορθώσουν αμέσως θα πρέπει να εφαρμόσουν τμηματοποίηση δικτύου για να περιορίσουν την πρόσβαση στα συστήματα HPE OneView και να παρακολουθούν για ύποπτη δραστηριότητα.
Για ερωτήσεις τεχνικής εφαρμογής, οι πελάτες HPE θα πρέπει να επικοινωνήσουν με το κανονικό τους κανάλι υποστήριξης Υπηρεσιών HPE.
Η HPE συνεχίζει να παρακολουθεί και να βελτιώνει τις δυνατότητες ασφαλείας σε όλο το χαρτοφυλάκιο λογισμικού της για να παρέχει στους πελάτες τρέχουσες, ασφαλείς λύσεις έναντι των αναδυόμενων απειλών.
