Falha Crítica no HPE OneView com CVSS 10.0 Permite Execução Remota de Código sem Autenticação

HPE OneView Flaw Rated CVSS 10.0 Allows Unauthenticated Remote Code Execution

A Hewlett Packard Enterprise (HPE) corrigiu uma falha de segurança de gravidade máxima no software OneView que, se explorada com sucesso, poderia levar à execução remota de código.

A vulnerabilidade crítica, identificada como CVE-2025-37164, possui uma pontuação CVSS de 10.0. HPE OneView é um software de gerenciamento de infraestrutura de TI que otimiza as operações de TI e controla todos os sistemas por meio de uma interface de painel centralizada.

“Uma potencial vulnerabilidade de segurança foi identificada no software Hewlett Packard Enterprise OneView. Essa vulnerabilidade pode ser explorada, permitindo que um usuário remoto não autenticado execute código remotamente”, afirmou a HPE em um aviso divulgado esta semana.

A falha afeta todas as versões do software anteriores à versão 11.00, que corrige o problema. A empresa também disponibilizou um hotfix que pode ser aplicado às versões 5.20 a 10.20 do OneView.

É importante observar que o hotfix deve ser reaplicado após a atualização da versão 6.60 ou posterior para a versão 7.00.00, ou após qualquer operação de reimaging do HPE Synergy Composer. Hotfixes separados estão disponíveis para o appliance virtual OneView e o Synergy Composer2.

Embora a HPE não mencione a exploração da falha em ambientes reais, é essencial que os usuários apliquem as correções o mais rápido possível para uma proteção ideal.

No início de junho, a empresa também lançou atualizações para corrigir oito vulnerabilidades em sua solução de backup e desduplicação de dados StoreOnce, que poderiam resultar em uma omissão de autenticação e execução remota de código. Também foi lançada a versão 10.00 do OneView para corrigir uma série de falhas conhecidas em componentes de terceiros, como Apache Tomcat e Apache HTTP Server.