【安全资讯】HPE OneView曝出最高危漏洞，无需认证即可远程执行代码

概要：

近日，Hewlett Packard Enterprise（HPE）发布紧急安全公告，其核心管理平台OneView中存在一个最高严重级别的远程代码执行漏洞。该漏洞无需任何身份验证即可被利用，对众多依赖该平台进行服务器、存储和生命周期管理的企业构成了严重威胁。鉴于OneView在企业网络中的核心地位和广泛权限，此漏洞可能成为攻击者获取基础设施控制权的捷径。

主要内容：

该漏洞编号为CVE-2025-37164，CVSS评分为满分10.0，影响OneView 5.20至10.20版本。攻击者无需登录即可通过特定REST API端点远程执行任意代码。安全研究员Nguyen Quoc Khanh报告了此问题。

OneView作为企业数据中心的核心控制平面，通常部署在网络深处，拥有广泛的系统权限且受安全审查较少。因此，在此层级的未认证RCE漏洞危害极大，攻击者一旦利用成功，获得的将不是单台服务器的访问权，而是对大规模基础设施的集中控制能力。

安全公司Rapid7分析指出，漏洞与设备暴露的某个特定REST API端点相关。HPE发布的紧急修复补丁通过在Web服务器层阻止对该端点的访问来解决问题。目前尚无证据表明该漏洞已被主动利用，但鉴于类似高权限管理平台常成为勒索软件团伙的攻击目标，风险极高。

HPE强烈建议用户立即升级至OneView 11.0版本或应用紧急热修复。Rapid7则建议安全团队将此视为“已失陷”场景进行处理，重新审视网络分段策略，并停止将基础设施管理层视为不可触及的安全区。