Hewlett Packard Enterprise (HPE) đã khắc phục một lỗ hổng bảo mật mức độ nghiêm trọng tối đa trong phần mềm OneView của mình. Nếu bị khai thác thành công, lỗ hổng này có thể dẫn đến việc thực thi mã từ xa (remote code execution).
Lỗ hổng nghiêm trọng này được gán mã định danh CVE là CVE-2025-37164 và có điểm CVSS là 10.0. HPE OneView là một phần mềm quản lý hạ tầng CNTT giúp đơn giản hóa các hoạt động CNTT và kiểm soát tất cả các hệ thống thông qua một giao diện dashboard tập trung.
"Một lỗ hổng bảo mật tiềm ẩn đã được xác định trong phần mềm Hewlett Packard Enterprise OneView. Lỗ hổng này có thể bị khai thác, cho phép một người dùng từ xa không được xác thực thực hiện remote code execution," HPE cho biết trong một bản tư vấn được phát hành tuần này.
Lỗ hổng này ảnh hưởng đến tất cả các phiên bản phần mềm trước phiên bản 11.00, phiên bản đã khắc phục lỗi. Công ty cũng đã cung cấp một bản hotfix có thể áp dụng cho các phiên bản OneView từ 5.20 đến 10.20.
Cần lưu ý rằng hotfix này phải được áp dụng lại sau khi nâng cấp từ phiên bản 6.60 trở lên lên phiên bản 7.00.00, hoặc sau bất kỳ hoạt động reimaging nào của HPE Synergy Composer. Các bản hotfix riêng biệt có sẵn cho thiết bị ảo OneView và Synergy Composer2.
Mặc dù HPE không đề cập đến việc lỗ hổng này đã bị khai thác trên thực tế (in the wild), nhưng điều cần thiết là người dùng phải áp dụng các bản vá càng sớm càng tốt để được bảo vệ tối ưu.
Vào đầu tháng 6 này, công ty cũng đã phát hành các bản cập nhật để khắc phục tám lỗ hổng trong giải pháp sao lưu và chống trùng lặp dữ liệu StoreOnce của mình, có thể dẫn đến việc bỏ qua xác thực (authentication bypass) và remote code execution. HPE cũng đã phát hành phiên bản OneView 10.00 để khắc phục một số lỗ hổng đã biết trong các thành phần của bên thứ ba, chẳng hạn như Apache Tomcat và Apache HTTP Server.
