A Hewlett Packard Enterprise publicou um alerta de segurança para corrigir oito vulnerabilidades críticas em seu software de backup e desduplicação de dados StoreOnce. Todas as falhas foram resolvidas na nova versão 4.3.11, recomendada a todos os usuários.
Leia também
Nvidia se declara empresa de infraestrutura de IA
Hackeado celular da chefe de gabinete de Trump
A mais grave é a CVE-2025-37093, que recebeu pontuação 9,8 na escala CVSS v3.1. O erro, localizado no método machineAccountCheck, permite contornar a autenticação, tornando possíveis ataques subsequentes. Segundo a equipe da Zero Day Initiative, responsável pela descoberta, a autenticação pode ser ignorada por completo devido a uma lógica incorreta.
As outras vulnerabilidades corrigidas incluem falhas que permitem execução remota de código (CVE-2025-37089, 37091, 37092 e 37096), falsificação de solicitação de servidor (CVE-2025-37090), exclusão de arquivos por travessia de diretório (CVE-2025-37094) e vazamento de informações (CVE-2025-37095). Especialistas alertam que, se combinadas com o bypass de autenticação, essas falhas se tornam ainda mais perigosas.
Os problemas foram relatados à HPE em outubro de 2024, mas a empresa levou sete meses para publicar os patches. Não há indícios de exploração ativa dessas falhas até o momento.
O StoreOnce é amplamente utilizado por empresas e data centers em estratégias de continuidade de negócios, com integração a ferramentas como HPE Data Protector, Veeam, Commvault e Veritas NetBackup. A HPE não divulgou nenhuma medida paliativa e orienta que a única forma de correção é a atualização para a versão 4.3.11.
