HPE เตือนช่องโหว่ระดับ Critical บน OneView ให้อัปเดตโดยด่วน

Hewlett Packard Enterprise (HPE) ออกประกาศเตือนเกี่ยวกับช่องโหว่ระดับ Critical บน HPE OneView ซอฟต์แวร์จัดการโครงสร้างพื้นฐานที่ทำให้ผู้โจมตีสามารถรันคำสั่งจากระยะไกลได้

HPE OneView เป็นซอฟต์แวร์สำหรับบริหารจัดการโครงสร้างพื้นฐานที่ช่วยให้ผู้ดูแลระบบสามารถควบคุมและ Automate การจัดการเซิร์ฟเวอร์ Storage และอุปกรณ์ Network จากส่วนกลางได้อย่างสะดวก ช่องโหว่ดังกล่าวมีรหัส CVE-2025-37164 ถูกค้นพบโดยนักวิจัยด้านความปลอดภัย และส่งผลกระทบต่อ OneView ทุก version ก่อน v11.00

ช่องโหว่นี้เป็นประเภท Code Injection ที่มีความซับซ้อนต่ำ ทำให้ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ได้โดยไม่ต้องมีการยืนยันตัวตน และสามารถรันโค้ดบนระบบที่ยังไม่ได้แพตช์ได้จากระยะไกล HPE ระบุว่าไม่มี Workaround สำหรับช่องโหว่นี้ ผู้ดูแลระบบจึงควรแพตช์ระบบโดยเร็วที่สุด

สำหรับการแก้ไข HPE แนะนำให้อัปเกรดไปยัง OneView version 11.00 หรือใหม่กว่า ซึ่งสามารถดาวน์โหลดได้จาก HPE Software Center สำหรับระบบที่ใช้งาน OneView version 5.20 ถึง 10.20 สามารถติดตั้ง Security Hotfix ได้ โดยต้องติดตั้ง Hotfix ใหม่อีกครั้งหลังจากอัปเกรดจาก version 6.60 ขึ้นไปเป็น version 7.00.00 หรือหลังจากทำ HPE Synergy Composer reimaging

ที่มา: https://www.bleepingcomputer.com/news/security/hpe-warns-of-maximum-severity-rce-flaw-in-oneview-software/