HPE OneView严重漏洞遭野外攻击利用

据美国网络安全和基础设施安全局(CISA)报告，HPE软件定义管理平台OneView中的一个最高严重级别漏洞正在遭受攻击。

CVE-2025-37164漏洞的CVSS评分为满分10分，已于周三被添加到CISA的已知被利用漏洞(KEV)目录中。这个远程代码执行(RCE)漏洞最初由HPE在12月17日披露，并为IT基础设施管理软件的所有版本(从5.20到10.20)发布了热修复补丁。

在漏洞披露时，专家警告CVE-2025-37164需要立即采取行动，因为OneView在客户网络中运行在特权控制平面上。OneView为企业环境中的服务器、存储系统、网络设备、固件和其他资产提供管理员级别的控制。

Rapid7漏洞情报总监Douglas McKee告诉Dark Reading："该漏洞被评定为最高严重级别的原因在于这款软件的实际功能。"

如果威胁行为者在OneView中实现远程代码执行，这将使他们获得对组织基础设施的集中控制权，导致灾难性后果。McKee表示："这与典型的Web应用程序漏洞相比，影响范围完全不同。"

Q&A

Q1：CVE-2025-37164漏洞的严重程度如何？

A：CVE-2025-37164漏洞的CVSS评分为满分10分，属于最高严重级别漏洞。该漏洞已被CISA添加到已知被利用漏洞目录中，表明正在遭受实际攻击利用。

Q2：OneView是什么软件？为什么这个漏洞如此危险？

A：OneView是HPE的软件定义管理平台，为企业环境中的服务器、存储系统、网络设备、固件等资产提供管理员级别的控制。如果攻击者利用此漏洞实现远程代码执行，将获得对组织整个基础设施的集中控制权。

Q3：HPE是否已经发布了修复方案？

A：是的，HPE在12月17日披露漏洞时就为所有受影响版本(从5.20到10.20)发布了热修复补丁，用户应立即安装更新以防范攻击。