HPE基礎架構管理軟體OneView存在可由遠端未經驗證攻擊者濫用的遠端程式碼執行漏洞CVE-2025-37164,CVSS 3.1評分10.0。受影響版本涵蓋所有早於v11.00的HPE OneView版本,HPE現已釋出可套用於v5.20至v10.20的安全熱修補程式,並建議用戶升級至已修補的v11.00或更新版本。
官方提醒,要是設備從OneView v6.60.xx升級到v7.00.00,或在HPE Synergy Composer上進行映像重建或回復,需重新套用熱修補。由於OneView虛擬設備與Synergy Composer存在各自獨立的熱修補套件,需分別下載與安裝。HPE官方公告未提供漏洞具體技術細節,也未提及是否觀察到漏洞遭實際利用,且暫時未提供其他對外緩解措施。
資安業者Rapid7初步分析熱修補內容時指出,修補的方向之一是在OneView的網頁伺服器層加入新的HTTP規則,用於阻擋對特定REST API端點的未授權存取。Rapid懷疑該REST API端點在未登入狀態下就能被呼叫,是漏洞可能遭濫用的入口。
熱門新聞
2025-12-22
2025-12-23
2025-12-19
2025-12-22
2025-12-23
2025-12-19
Advertisement