Imagen Principal

Hewlett Packard Enterprise (HPE) ha anunciado la resolución de una vulnerabilidad de seguridad de máxima gravedad en su software OneView. La falla, si se explota con éxito, podría permitir la ejecución remota de código.

La vulnerabilidad crítica ha sido identificada con el CVE-2025-37164 y tiene una puntuación CVSS de 10.0. HPE OneView es una herramienta de gestión de infraestructura de TI que simplifica las operaciones y permite el control centralizado de todos los sistemas.

Detalles de la Vulnerabilidad (CVE-2025-37164)

La falla de seguridad permite a un atacante remoto no autenticado realizar la ejecución de código en el sistema afectado. HPE ha emitido una advertencia de seguridad instando a los usuarios a tomar medidas inmediatas.

Versiones Afectadas y Solución

La vulnerabilidad afecta a todas las versiones de HPE OneView anteriores a la versión 11.00.

Para remediar la falla, los usuarios tienen dos opciones:

  1. Actualización a la Versión 11.00: La solución principal es actualizar a la versión 11.00 del software.
  2. Aplicación de Hotfix: HPE ha proporcionado un hotfix (parche de emergencia) para las versiones 5.20 a 10.20 de OneView. Es crucial que los usuarios apliquen este parche lo antes posible.

Consideraciones Adicionales sobre el Parcheo

HPE ha especificado que el hotfix debe ser reaplicado en los siguientes escenarios:

  • Al actualizar de la versión 6.60 (o posterior) a la versión 7.00.00.
  • Después de cualquier operación de reimagen del HPE Synergy Composer.

Se encuentran disponibles hotfixes separados para la appliance virtual de OneView y para Synergy Composer2.

Contexto de Seguridad Reciente de HPE

Aunque HPE no ha reportado que esta vulnerabilidad esté siendo explotada activamente, la criticidad de la falla (CVSS 10.0) hace que la aplicación inmediata de los parches sea esencial para proteger los sistemas.

Este incidente sigue a otras actualizaciones de seguridad recientes de la compañía. En junio, HPE lanzó parches para ocho vulnerabilidades en su solución de backup StoreOnce, incluyendo fallas que podrían llevar a la elusión de autenticación y ejecución remota de código. También se lanzó la versión 10.00 de OneView para corregir varias vulnerabilidades conocidas en componentes de terceros, como Apache Tomcat y Apache HTTP Server.

Referencias

  • CVE: CVE-2025-37164
  • Advisory de HPE: (La referencia completa del advisory de HPE)