VietNetwork.Vn

Hewlett Packard Enterprise (HPE) đã khắc phục một lỗ hổng bảo mật nghiêm trọng trong phần mềm OneView, nếu bị khai thác thành công, có thể dẫn đến thực thi mã từ xa.

Lỗ hổng bảo mật nghiêm trọng, được gán mã định danh CVE là CVE-2025-37164, có điểm CVSS là 10.0. HPE OneView là phần mềm quản lý cơ sở hạ tầng CNTT giúp tối ưu hóa hoạt động CNTT và kiểm soát tất cả các hệ thống thông qua giao diện bảng điều khiển tập trung.


"Một lỗ hổng bảo mật tiềm ẩn đã được phát hiện trong phần mềm Hewlett Packard Enterprise OneView. Lỗ hổng này có thể bị khai thác, cho phép người dùng từ xa không được xác thực thực hiện việc thực thi mã từ xa", HPE cho biết trong một thông báo được phát hành tuần này.

Lỗi này ảnh hưởng đến tất cả các phiên bản phần mềm trước phiên bản 11.00, phiên bản đã khắc phục sự cố. Công ty cũng đã cung cấp bản vá lỗi khẩn cấp có thể áp dụng cho các phiên bản OneView từ 5.20 đến 10.20.

Cần lưu ý rằng bản vá lỗi này phải được áp dụng lại sau khi nâng cấp từ phiên bản 6.60 trở lên lên phiên bản 7.00.00, hoặc sau bất kỳ thao tác cài đặt lại hình ảnh HPE Synergy Composer nào. Có các bản vá lỗi riêng biệt dành cho thiết bị ảo OneView và Synergy Composer2.

Mặc dù HPE không đề cập đến việc lỗ hổng này bị khai thác trên thực tế, nhưng điều cần thiết là người dùng phải áp dụng các bản vá càng sớm càng tốt để có được sự bảo vệ tối ưu.

Đầu tháng 6 vừa qua, công ty cũng đã phát hành các bản cập nhật để khắc phục tám lỗ hổng trong giải pháp sao lưu và khử trùng lặp dữ liệu StoreOnce, có thể dẫn đến việc bỏ qua xác thực và thực thi mã từ xa. Họ cũng đã phát hành phiên bản OneView 10.00 để khắc phục một số lỗi đã biết trong các thành phần của bên thứ ba, chẳng hạn như Apache Tomcat và Apache HTTP Server.