network-g1d2d98a44_640.jpg

Falha crítica em HPE OneView permite RCE sem autenticação

CVE-2025-37164 é uma vulnerabilidade crítica no HPE OneView Software que permite a atacantes remotos, sem qualquer autenticação, executar código arbitrário e assumir o controle completo da plataforma de gestão de infraestrutura. A falha possui pontuação CVSS 10,0 (máxima) e é explorável diretamente pela rede, sem interação do usuário, afetando confidencialidade, integridade e disponibilidade de ambientes que dependem do OneView para gerenciar servidores, storage e rede.

Escopo afetado e causa técnica

O problema afeta todas as versões do HPE OneView anteriores à v11.00, incluindo appliances físicos e virtuais usados em data centers e implantações Synergy. De acordo com o boletim HPESBGN04985, a raiz do CVE‑2025‑37164 está em falhas de validação/sanitização de entrada em componentes da interface web ou API do OneView, caracterizando uma vulnerabilidade de injeção de código (CWE‑94) que possibilita execução remota de código com privilégios do serviço da aplicação.

Vetor de ataque e impacto operacional

Por usar vetor AV:N, AC:L, PR:N e UI:N, o bug pode ser explorado por qualquer atacante com alcance de rede até a interface do OneView, sem necessidade de credenciais ou passos complexos. Uma exploração bem-sucedida permite que o invasor comprometa o appliance de gestão, acesse e altere configurações de servidores, redes e armazenamento, manipule dados sensíveis e utilize o OneView como ponto de partida para movimento lateral em todo o ambiente.

Patches, hotfixes e particularidades de upgrade

HPE já disponibilizou correções completas na versão HPE OneView v11.00 e posteriores, que eliminam a vulnerabilidade. Para clientes que ainda operam entre as versões 5.20 e 10.20, a empresa oferece hotfixes de segurança específicos via portal de suporte, incluindo patches dedicados para HPE Synergy Composer, que precisam ser reaplicados após upgrades como da 6.60.xx para 7.00.00 ou após qualquer reimage do Composer.

Recomendações imediatas para administradores

HPE recomenda que todos os clientes afetados atualizem o quanto antes para o HPE OneView v11.00 ou superior, ou apliquem os hotfixes se estiverem presos às versões 5.20–10.20. Organizações que não podem patchar imediatamente devem segmentar a rede para restringir ao máximo o acesso ao OneView, limitar exposição externa, reforçar monitoramento de logs e tráfego em busca de comportamentos suspeitos e revisar procedimentos de gestão e segurança da ferramenta, dadas a gravidade e a facilidade de exploração da falha.