Разработчики Hewlett Packard Enterprise (HPE) выпустили исправления для критической уязвимости удаленного выполнения кода, обнаруженной в ПО для управления ИТ-инфраструктурой OneView. Проблема получила идентификатор CVE-2025-37164 (максимальные 10,0 балла по шкале CVSS) и может использоваться без аутентификации.
OneView — это программное обеспечение HPE для управления инфраструктурой, которое создано для помощи ИТ-администраторам в вопросах оптимизации операций и автоматизации управления серверами, системами хранения данных и сетевыми устройствами.
Уязвимость обнаружил вьетнамский ИБ-исследователь, известный под ником brocked200. Баг затрагивает все версии OneView, вплоть до версии 11.00, и может использоваться неавторизованными злоумышленниками в атаках, которые ведут к удаленному выполнению кода в незащищенных системах.
Так как для исправления CVE-2025-37164 не существует обходных решений, администраторам рекомендуется как можно скорее установить патчи и обновиться до версии 11.00 или более новой. Также в компании рекомендуют обновить версии 6.60.xx до 7.00 перед применением патча, и отмечают, что следует исправить образы HPE Synergy Composer.
Специалисты HPE не сообщают, использовалась ли эта уязвимость в реальных атаках.
