Un utilisateur non authentifié peut exécuter l’attaque, et il n’y a aucune atténuation, juste un correctif qui doit être appliqué immédiatement.
Une vulnérabilité d’exécution de code à distance de gravité maximale dans la suite de gestion de réseaux et de systèmes OneView de Hewlett Packard Enterprise (HPE) est « mauvaise » et doit être corrigée immédiatement, déclare un expert en cybersécurité.
« Les fournisseurs minimisent généralement la gravité d’une vulnérabilité », explique Curtis Dukes, vice-président exécutif chargé des meilleures pratiques de sécurité au Center for Internet Security, « mais HPE ne l’a pas fait : il s’agit d’un 10. »
La vulnérabilité est exécutable à distance par un utilisateur non authentifié, a-t-il ajouté, et affecte toutes les versions récentes de la suite. En plus de cela, a-t-il souligné, OneView est un gestionnaire central de l’infrastructure informatique des organisations.
« Pour ces raisons, le correctif doit être mis en œuvre immédiatement », a déclaré Dukes. « Les adversaires, les États-nations et les gangs criminels savent qu’il existe une fenêtre d’opportunité et travaillent probablement sur un exploit. »
HPE indique dans son avis que la vulnérabilité CVE-2025-37164 affecte toutes les versions entre 5.20 et 10.20. Ce problème peut être résolu en appliquant un correctif de sécurité, qui doit être réappliqué après une mise à niveau de l’appliance de HPE OneView version 6.60.xx vers 7.00.00, ainsi qu’après toute réimage de HPE Synergy Composer.
HPE propose des correctifs distincts pour l’appliance virtuelle HPE OneView et HPE Synergy Composer.
L’avis ajoute que tous les correctifs de sécurité tiers devant être installés sur les systèmes exécutant des produits logiciels HPE doivent être appliqués conformément à la politique de gestion des correctifs du client.
Interrogé pour commentaires, un porte-parole de HPE a déclaré que la société n’avait rien à dire au-delà de son avis, si ce n’est d’exhorter les administrateurs à télécharger et installer les correctifs dès que possible.
Jack Bicer, directeur de la recherche sur les vulnérabilités chez Action1, a déclaré que, comme cette vulnérabilité peut être exploitée sans authentification ni aucune interaction de l’utilisateur, il s’agit d’un « problème de sécurité extrêmement grave. Il n’existe aucune solution de contournement disponible, le correctif doit donc être appliqué immédiatement. Jusqu’à ce que le correctif puisse être appliqué, limitez l’accès réseau à l’interface de gestion OneView aux réseaux administratifs de confiance uniquement ».
HPE décrit OneView comme une solution qui simplifie la gestion du cycle de vie de l’infrastructure à travers le stockage informatique et la mise en réseau via une API unifiée. Il permet aux administrateurs de créer un catalogue de modèles d’infrastructure optimisés pour la charge de travail afin que le personnel informatique plus général puisse provisionner les ressources de manière rapide et fiable. Ces modèles peuvent rapidement provisionner des systèmes physiques, virtuels et conteneurisés, configurer les paramètres du BIOS, la configuration RAID locale, la base de micrologiciel, le stockage partagé et bien plus encore. HPE affirme que l’intelligence définie par logiciel permet au service informatique d’exécuter plusieurs applications simultanément avec des modèles reproductibles qui garantissent une fiabilité, une cohérence et un contrôle élevés. Le fournisseur affirme également que l’automatisation intégrée accélère le provisionnement et réduit les dépenses d’exploitation.
La vulnérabilité majeure la plus récente dans OneView a été révélée en juin : CVE-2025-37101, un problème d’élévation locale des privilèges qui concerne spécifiquement OneView pour VMware vCenter. En cas d’exploitation, un attaquant disposant du privilège de lecture seule pourrait mettre à niveau son accès pour lui permettre d’effectuer des actions d’administration.
