惠普公司就其旗舰级基础设施管理软件 OneView 存在的严重安全漏洞发出预警。该漏洞编号为 CVE – 2025 – 37164,其通用漏洞评分系统(CVSS)得分为满分 10.0,这意味着未打补丁的系统正面临紧迫且致命的威胁。
此漏洞允许未验证身份的攻击者实施远程代码执行操作。HPE OneView 堪称混合云环境的自动化核心,负责管理服务器、存储设备和网络设备。一旦该软件被入侵,就相当于数据中心的 “大脑” 遭人掌控。据安全公告显示,攻击者无需登录,就能远程执行任意代码。实际上,这意味着不法分子无需窃取任何登录凭证,就能通过网络夺取这款管理设备的控制权。入侵成功后,他们或许能破坏业务运营流程、植入勒索软件,甚至操控该软件所管理的实体硬件。此漏洞影响 HPE OneView 的所有版本,凡是低于 11.00 版本的软件均在受影响范围内。
惠普公司已紧急推出解决方案,并督促所有用户立刻采取应对措施。
修复该漏洞的主要方式是全面升级软件。该公司表示:“惠普 OneView 11.00 及更高版本已修复此漏洞。” 管理员可通过惠普软件中心或惠普协同软件发布平台下载升级包。
对于运行 5.20 至 10.20 版本、暂时无法升级至 11.00 版本的用户,惠普公司也发布了安全热修复程序。但安装此补丁有一项关键注意事项,若忽视该事项,系统仍可能处于易受攻击的状态。
惠普公司提醒,此热修复程序在特定版本升级过程中无法保留防护效果。“当设备从惠普OneView 6.60.xx 版本升级至 7.00.00 版本时,包括对惠普协同集成器重新镜像后,必须重新安装该安全热修复程序。”
相关管理员需尽快核实自身所用软件版本,并立即安装补丁。要知道,勒索软件团伙和国家背景黑客组织往往会优先利用这类 CVSS 满分的高危漏洞发起攻击。
发表评论
您还未登录,请先登录。
登录