A Hewlett Packard Enterprise (HPE) anunciou nesta semana a liberação de correções para uma vulnerabilidade crítica de execução remota de código em seu software de gerenciamento de infraestrutura de TI, o HPE OneView.
Identificada como CVE-2025-37164 e com pontuação máxima de severidade (CVSS 10.0), a falha permite que atacantes não autenticados executem código arbitrário remotamente, o que representa um risco elevado para ambientes corporativos.
O que se sabe sobre a vulnerabilidade
De acordo com o comunicado oficial da HPE, a vulnerabilidade pode ser explorada sem a necessidade de credenciais válidas. Apesar de a empresa não ter confirmado exploração ativa da falha na internet, a recomendação é clara: os clientes devem aplicar as correções o mais rápido possível.
O problema afeta todas as versões do HPE OneView até a 10.20. Para mitigar o risco, a HPE disponibilizou hotfixes específicos e orienta que ambientes que utilizam versões 6.60.xx sejam atualizados primeiro para a versão 7.00 antes da aplicação do patch de segurança. Além disso, reimagens do HPE Synergy Composer também devem ser atualizadas.
Detalhes técnicos apontados pela Rapid7
Embora a HPE não tenha divulgado detalhes técnicos aprofundados sobre a falha, a empresa de segurança Rapid7 compartilhou informações relevantes após analisar a correção:
“Este hotfix aplica uma nova regra HTTP no servidor web do appliance para bloquear o acesso a um endpoint específico da API REST. Esse endpoint é o
/rest/id-pools/executeCommand. Uma inspeção inicial do código do appliance indica que esse endpoint pode ser acessado sem autenticação. A Rapid7 avalia, com alto grau de confiança, que este seja o vetor de ataque utilizado para explorar a vulnerabilidade e alcançar a execução remota de código.”
A HPE creditou a descoberta da falha ao pesquisador Nguyen Quoc Khanh.
Onde encontrar as correções
- Os hotfixes de segurança do appliance virtual HPE OneView estão disponíveis no portal oficial de suporte da HPE.
- Já o hotfix de segurança relacionado ao HPE Synergy (CVE) pode ser obtido na página específica do produto.
Outras vulnerabilidades corrigidas pela HPE
Além da falha crítica no OneView, a HPE também publicou correções para três vulnerabilidades adicionais em dependências utilizadas na plataforma HPE Telco Service Activator, voltada para provisionamento e ativação de serviços de telecomunicações.
As falhas são rastreadas como:
Esses problemas afetam componentes amplamente utilizados, como o driver JDBC do PostgreSQL (PgJDBC), o framework de rede Netty e o Jakarta Mail. Segundo a HPE, a exploração dessas vulnerabilidades poderia resultar em bypass de autenticação, negação de serviço (DoS) e injeção CRLF (Carriage Return Line Feed).
Todas as versões do HPE Telco Service Activator até a 10.3.2 são impactadas. As correções foram incluídas na versão 10.3.3 da plataforma. Até o momento, não há indícios de exploração ativa dessas falhas.
Considerações finais
Vulnerabilidades com severidade crítica e exploração sem autenticação reforçam a importância de gestão contínua de patches, monitoramento de ativos e resposta rápida a alertas de segurança. Organizações que utilizam soluções da HPE devem revisar seus ambientes, aplicar as atualizações recomendadas e garantir que boas práticas de segurança estejam sendo seguidas.
Manter a infraestrutura atualizada não é apenas uma recomendação técnica, mas uma medida essencial para a continuidade e a segurança do negócio.
Para saber mais, clique aqui.