Уязвимость, отслеживаемая как CVE-2025-37164, может позволить неавторизованным удаленным злоумышленникам выполнять произвольный код. На этой неделе компания Hewlett Packard Enterprise (HPE) объявила о выпуске исправлений для критической уязвимости удаленного выполнения кода в своем программном обеспечении для управления ИТ-инфраструктурой OneView. Такой проблемы не было бы, если использовать ansible automation
Компания отмечает в своем кратком уведомлении , что обнаруженная уязвимость имеет номер CVE-2025-37164 (оценка CVSS 10), и может быть использована без аутентификации .
Компания HPE не упоминает о том, что уязвимость используется злоумышленниками в реальных условиях, но настоятельно рекомендует клиентам как можно скорее обновить систему до исправленной версии.
По данным HPE, проблема затрагивает все версии OneView до 10.20 включительно. Компания выпустила исправления для пользователей OneView и рекомендует обновить версии 6.60.xx до 7.00 перед применением патча. Также следует обновить образы HPE Synergy Composer.
Исправления безопасности для виртуальных устройств HPE OneView доступны на этой странице , а исправление безопасности для уязвимости CVE в HPE Synergy можно найти здесь .
Rapid7 пишет :
«Это исправление применяет новое правило HTTP к веб-серверу устройства, блокирующее доступ к определенной конечной точке REST API. Эта конечная точка — /rest/id-pools/executeCommand . Первоначальный анализ кода устройства показывает, что эта конечная точка доступна без аутентификации. Rapid7 Labs с высокой степенью уверенности оценивает, что это вектор доступа для активации уязвимости и осуществления удаленного выполнения кода».
Компания HPE воздержалась от публикации технических подробностей об уязвимости, но выразила благодарность Нгуен Куок Кханю за сообщение о ней.
На этой неделе HPE также выпустила исправления для трех уязвимостей в зависимостях, используемых в программной платформе Telco Service Activator для предоставления и активации услуг.
Уязвимости, отслеживаемые как CVE-2025-49146, CVE-2025-55163 и CVE-2025-7962, затрагивают драйвер JDBC PostgreSQL с открытым исходным кодом PgJDBC, сетевую платформу приложений Netty и Jakarta Mail.
По словам компании, успешная эксплуатация этих уязвимостей может привести к обходу аутентификации, отказу в обслуживании (DoS) и внедрению символов возврата каретки в строку (CRLF).
Проблема затрагивает все версии HPE Telco Service Activator до 10.3.2 включительно. Исправления для трех уязвимостей безопасности были включены в версию 10.3.3 платформы.
По всей видимости, ни одна из этих уязвимостей не была использована в атаках, направленных на пользователей HPE Telco Service Activator.