据美国网络安全和基础设施安全局(CISA)报告,HPE软件定义管理平台OneView中的一个最高严重级别漏洞正在遭受攻击。
CVE-2025-37164漏洞的CVSS评分为满分10分,已于周三被添加到CISA的已知被利用漏洞(KEV)目录中。这个远程代码执行(RCE)漏洞最初由HPE在12月17日披露,并为IT基础设施管理软件的所有版本(从5.20到10.20)发布了热修复补丁。
在漏洞披露时,专家警告CVE-2025-37164需要立即采取行动,因为OneView在客户网络中运行在特权控制平面上。OneView为企业环境中的服务器、存储系统、网络设备、固件和其他资产提供管理员级别的控制。
Rapid7漏洞情报总监Douglas McKee告诉Dark Reading:"该漏洞被评定为最高严重级别的原因在于这款软件的实际功能。"
如果威胁行为者在OneView中实现远程代码执行,这将使他们获得对组织基础设施的集中控制权,导致灾难性后果。McKee表示:"这与典型的Web应用程序漏洞相比,影响范围完全不同。"
Q&A
Q1:CVE-2025-37164漏洞的严重程度如何?
A:CVE-2025-37164漏洞的CVSS评分为满分10分,属于最高严重级别漏洞。该漏洞已被CISA添加到已知被利用漏洞目录中,表明正在遭受实际攻击利用。
Q2:OneView是什么软件?为什么这个漏洞如此危险?
A:OneView是HPE的软件定义管理平台,为企业环境中的服务器、存储系统、网络设备、固件等资产提供管理员级别的控制。如果攻击者利用此漏洞实现远程代码执行,将获得对组织整个基础设施的集中控制权。
Q3:HPE是否已经发布了修复方案?
A:是的,HPE在12月17日披露漏洞时就为所有受影响版本(从5.20到10.20)发布了热修复补丁,用户应立即安装更新以防范攻击。