La faille permet l’exécution de code à distance via une API REST publique, offrant ainsi aux attaquants un chemin direct pour compromettre l’infrastructure de l’entreprise.
Une faille d’exécution de code à distance (RCE) de gravité maximale dans la plate-forme de gestion OneView de HPE a été signalée par la Cybersecurity & Infrastructure Security Agency (CISA) pour exploitation active. La faille, identifiée comme CVE-2025-37164, a été ajoutée au catalogue de vulnérabilités exploitées connues (KEV) de CISA, quelques jours après que la société l’a divulguée avec un correctif.
« La vulnérabilité OneView CVE-2025-37164 est grave car elle permet l’exécution de code à distance non authentifié via un point de terminaison d’API REST accessible au public », a déclaré Chrissa Constantine, architecte principale de solutions de cybersécurité chez Black Duck. « Étant donné le rôle central de OneView dans la gestion des serveurs, du stockage et du réseau, cette vulnérabilité ne compromet pas seulement une application, elle met en danger l’ensemble de l’environnement. C’est pourquoi les évaluations proactives de la sécurité des API ne sont pas négociables pour tout système exposant des interfaces de gestion ou d’automatisation. «
HPE a déjà publié des avis et un correctif pour résoudre le problème, mais les entreprises ont peu de temps pour réagir avant qu’une compromission au niveau de la couche de gestion ne se transforme en contrôle total de l’environnement.
Conséquences à l’échelle de l’infrastructure
CVE-2025-37164 est dû à une mauvaise gestion des entrées dans une API REST accessible au public utilisée par HPE OneView, permettant à des attaquants non authentifiés d’exécuter des commandes arbitraires sur le système sous-jacent. La faille porte un score CVSS de 10,0, reflétant à la fois le manque d’authentification et le chemin direct vers l’exécution de code à distance, ce qui rend bien plus probable une analyse opportuniste et une exploitation rapide.
HPE OneView agit comme une interface unique pour les serveurs, le stockage et la mise en réseau, souvent intégrée aux systèmes d’identité, aux plateformes de billetterie et aux flux de travail d’automatisation. Un RCE non authentifié dans cette couche donne aux attaquants un raccourci direct vers le cœur des opérations de l’entreprise.
« La position de HPW OneView dans l’entreprise et le score de gravité de la vulnérabilité la rendent mauvaise », Randolph Barr, responsable de la sécurité des informations chez Cequence Security. « Lorsque des pirates piratent une plateforme telle que HPE OneView, ils accèdent non seulement à un système unique, mais pénètrent également dans les opérations principales de l’environnement. »
Ce n’est pas une solution « postuler et passer à autre chose »
Même si l’inclusion du KEV dans CISA a immédiatement accru la priorité, les entreprises ne peuvent pas traiter OneView comme un correctif de routine pour les points de terminaison. Les logiciels du plan de gestion sont souvent déployés sur site, parfois sur des serveurs physiques, et étroitement associés aux flux de production. Un correctif précipité qui interrompt la surveillance, l’authentification ou les intégrations peut être presque aussi dangereux que la vulnérabilité elle-même.
Barr a averti que les organisations doivent d’abord comprendre comment OneView est déployé : que ce soit sur du matériel physique, en tant que machine virtuelle avec prise en charge des instantanés ou dans une configuration en cluster, avant de passer aux correctifs. Les configurations virtualisées peuvent permettre des cycles de correctifs et de restauration plus rapides, tandis que les déploiements sur site plus anciens ou de grande envergure nécessitent un séquençage minutieux et des plans de sauvegarde testés.
« Les équipes de sécurité devraient collecter des renseignements sur les menaces en même temps qu’elles élaborent des stratégies de correctifs », a-t-il déclaré. « Cela signifie savoir comment l’exploit est utilisé, quels secteurs sont ciblés, si les attaquants recherchent en grand nombre les API vulnérables et quels signes ou actions peuvent être surveillés tout au long de la période de mise à jour des correctifs. »
Bien que l’exploitation dans la nature n’ait pas encore été reconnue en dehors de la mise à jour CISA KEV, la probabilité est forte car les détails techniques et un module Metasploit ont été rendus publics peu de temps après. HPE divulgué la faille le 18 décembre 2025.
