Aviso de seguridad
Nivel de peligrosidad: Alto
Descripción
La vulnerabilidad CVE-2025-37164 permite que una persona fuera de tu red o sin iniciar sesión en el sistema envíe comandos al servidor HPE OneView y ejecute código arbitrario. Esto significa que un atacante con acceso de red al servicio podría controlar, manipular o interrumpir la infraestructura gestionada por OneView, incluyendo servidores, redes y sistemas críticos, sin siquiera necesitar una contraseña.
Este fallo reside en un componente de la API que no valida apropiadamente las solicitudes recibidas, permitiendo que parámetros maliciosos desencadenen la ejecución de acciones peligrosas en el sistema.
Recursos afectados
HPE OneView versiones anteriores a la 11.00 (incluyendo la serie 5.20 hasta 10.20), tanto en versiones instaladas como en appliances virtuales, si no se han aplicado hotfixes de seguridad.
Solución
La solución inmediata y recomendada es aplicar los parches oficiales o actualizar OneView a la versión 11.00 o superior, que corrige la falla.
HPE también ha emitido hotfixes específicos que se pueden instalar en versiones anteriores (por ejemplo, para OneView y HPE Synergy) si no es posible realizar la actualización inmediatamente.
Recomendaciones
Actualizar inmediatamente todos los sistemas afectados a OneView 11.00 o superior.
- Aplicar hotfixes oficiales en versiones entre 5.20 y 10.20 si la actualización no es posible ahora.
- Restringir el acceso de red al panel de administración de OneView, permitiendo únicamente direcciones confiables.
- Monitorear los registros de eventos para detectar actividad inusual o intentos de conexión no autorizados.
- Revisar la segmentación de red y aplicar controles adicionales para mitigar la exposición de sistemas críticos.
Referencias