Hewlett Packard Enterprise (HPE) 日前修補了 IT 基礎設施管理軟體 OneView 的一個重大安全漏洞
CVE-2025-37164。此漏洞的嚴重性評分達到滿分 10.0 分,攻擊者無需身分驗證即可遠端執行任意程式碼。
HPE OneView 是一套基礎設施管理軟體,用於簡化 IT 營運。它透過集中式儀表板控制所有系統,協助 IT 管理人員自動化管理伺服器、儲存設備和網路裝置。
受影響版本與修補方案
CVE-2025-37164 影響所有 11.00 版本之前的 OneView 軟體。HPE 已在 11.00 版本中修復此漏洞,使用者可透過 HPE 軟體中心下載更新版本。
對於執行 OneView 5.20 至 10.20 版本的系統,HPE 也提供了安全性修補程式(Hotfix)。需要特別注意的是,在從 6.60 版或更高版本升級至 7.00.00 版時,或執行任何 HPE Synergy Composer 重新映像作業後,必須重新套用此修補程式。
HPE 為 OneView 虛擬設備和 Synergy Composer2 分別提供了修補程式,使用者可透過專屬支援頁面下載。
雖然 HPE 尚未確認此漏洞是否已在實際攻擊中被利用,但考量到其最高等級的嚴重性評分,以及可讓未經身分驗證的攻擊者遠端執行程式碼的特性,組織應將修補工作列為優先事項。
HPE 近期其他資安更新
今年 6 月,該公司修補了磁碟備份與去重複化解決方案 StoreOnce 中的 8 個漏洞,其中包括一個嚴重等級的身分驗證繞過漏洞,以及 3 個遠端程式碼執行漏洞。
同樣在 6 月,HPE 發布了 OneView 10.00 版本,修復了第三方元件中的多個已知漏洞,包括 Apache Tomcat 和 Apache HTTP Server 的安全問題。
7 月時,HPE 警告 Aruba Instant On 存取點產品存在硬編碼憑證(Hardcoded Credentials)問題。攻擊者可能繞過標準裝置身分驗證機制,直接存取網頁介面。
建議防護措施
針對 CVE-2025-37164 漏洞,建議組織採取以下措施:
- 立即檢查使用的 HPE OneView 版本是否受影響
- 儘速升級至 OneView 11.00 版或更新版本
- 若無法立即升級,應套用對應版本的安全性修補程式
- 注意在特定升級情境下需重新套用修補程式
- 持續關注 HPE 發布的資安公告,確保系統安全性
HPE 產品與服務被全球超過 5.5 萬個組織使用,包括 90% 的財星 500 大企業。對於這些大規模使用 HPE 產品的組織,及時修補此類高嚴重性漏洞至關重要。
本文轉載自 TheHackerNews、BleepingComputer。