Hewlett Packard Enterprise (HPE) a corrigé une vulnérabilité de gravité maximale dans son logiciel HPE OneView qui permet aux attaquants d’exécuter du code arbitraire à distance.
OneView est le logiciel de gestion d’infrastructure de HPE qui aide les administrateurs informatiques à rationaliser les opérations et à automatiser la gestion des serveurs, du stockage et des périphériques réseau à partir d’une interface centralisée.
Cette faille de sécurité critique (CVE-2025-37164) a été signalée par le chercheur en sécurité vietnamien Nguyen Quoc Khanh (brocked200) à l’équipe de sécurité de l’entreprise.
Il affecte toutes les versions de OneView publiées avant la version 11.00 et peut être exploité par des acteurs de la menace non authentifiés dans des attaques par injection de code de faible complexité pour obtenir l’exécution de code à distance sur des systèmes non corrigés.
« Une faille de sécurité potentielle a été identifiée dans le logiciel Hewlett Packard Enterprise OneView. Cette vulnérabilité pourrait être exploitée, permettant à un utilisateur distant non authentifié d’exécuter du code à distance », a averti HPE dans un avis publié mardi.
Il n’y a pas de solutions de contournement ou d’atténuation pour CVE-2025-37164, il est donc conseillé aux administrateurs de corriger les systèmes vulnérables dès que possible.
HPE n’a pas encore confirmé si cette vulnérabilité a été ciblée par des attaques et indique que les organisations concernées peuvent passer à OneView version 11.00 ou ultérieure, disponible via le Centre logiciel de HPE, pour la corriger.
Sur les appareils exécutant les versions 5.20 à 10.20 de OneView, la vulnérabilité peut être corrigée en déployant un correctif de sécurité, qui doit être réappliqué après la mise à niveau de la version 6.60 ou ultérieure vers la version 7.00.00, ou après toute opération de réimagerie de HPE Synergy Composer.
Des téléchargements séparés sont disponibles pour le correctif de sécurité de l’appliance virtuelle et le correctif de sécurité Synergy via des pages d’assistance dédiées.
En juin, HPE a corrigé huit vulnérabilités dans StoreOnce, sa solution de sauvegarde et de déduplication sur disque, y compris un contournement d’authentification de gravité critique et trois failles d’exécution de code à distance.
Un mois plus tard, en juillet, il a mis en garde contre les informations d’identification codées en dur dans Aruba Instant sur les points d’accès qui pourraient permettre aux attaquants d’accéder à l’interface Web après avoir contourné l’authentification standard des appareils.
HPE compte plus de 61 000 employés dans le monde et a réalisé un chiffre d’affaires de 30,1 milliards de dollars en 2024. Ses produits et services sont utilisés par plus de 55 000 organisations dans le monde, dont 90% des entreprises Fortune 500.