Vulnerabilità critica in HPE OneView consente esecuzione remota di codice senza autenticazione

Hewlett Packard Enterprise (HPE) ha corretto una grave vulnerabilità di sicurezza nel software HPE OneView, la piattaforma di gestione centralizzata per infrastrutture IT, che potrebbe consentire a un utente remoto non autenticato di eseguire codice arbitrario sui sistemi vulnerabili. 

La falla è stata identificata come CVE-2025-37164 e ha ottenuto un punteggio CVSS di 10.0, il valore massimo della scala, evidenziando il rischio critico associato a questo problema. 

Secondo l’avviso di sicurezza pubblicato da HPE, la vulnerabilità può essere sfruttata senza richiedere alcuna autenticazione o interazione dell’utente tramite una semplice connessione di rete, consentendo a un attaccante di iniettare ed eseguire codice da remoto. 

La vulnerabilità interessa tutte le versioni di OneView precedenti alla 11.00. HPE ha rilasciato la versione 11.00, che risolve la criticità, oltre a hotfix dedicati per le versioni da 5.20 a 10.20, disponibili tramite il portale di supporto. Gli hotfix devono essere riapplicati dopo specifiche operazioni di aggiornamento o reimaging, come indicato dalla documentazione di HPE. 

Al momento non ci sono segnalazioni confermate di sfruttamento attivo in ambiente reale, ma, a causa della gravità e della semplicità di sfruttamento, è fortemente raccomandato applicare gli aggiornamenti e le patch immediatamente per proteggere i sistemi gestiti da OneView. 

Raccomandazioni di sicurezza

• Aggiornare HPE OneView alla versione 11.00 o successiva. 
• Applicare gli hotfix forniti per le versioni da 5.20 a 10.20. 
• Verificare che gli hotfix siano stati riapplicati dopo eventuali aggiornamenti o reimaging. 
• Monitorare l’infrastruttura per attività sospette e considerare misure di segmentazione di rete per ridurre l’esposizione dei sistemi di gestione.

SOC