Krytyczna podatność typu code injection w HPE OneView
CSIRT CeZ ostrzega: krytyczna podatność typu code injection w HPE OneView. Podatność umożliwia zdalne wykonanie kodu (RCE) i przejęcie warstwy oprogramowania, która służy do centralnego zarządzania infrastrukturą systemów IT.
Charakterystyka podatności
- Oznaczenie: CVE-2025-52691
- Score CVSS 3.1: 9,8 (Critical)
Jak działa podatność?
Krytyczna podatność typu code injection w HPE OneView umożliwia zdalne wykonanie dowolnego kodu (RCE) przez nieuprawnionego atakującego. Kompromitacja OneView, czyli centralnej platformy do zarządzania serwerami, storage i siecią może prowadzić do:
- przejęcia płaszczyzny zarządzania – atakujący może manipulować konfiguracją urządzeń i procesami cyklu życia infrastruktury, w tym elementami niewidocznymi z poziomu systemu operacyjnego,
- szerokiej eskalacji skutków – OneView często pełni rolę nadrzędnego kontrolera, więc jego kompromitacja może oznaczać przejęcie wielu powiązanych zasobów,
- wysokiego ryzyka realnych ataków – według CISA i branżowych raportów luka jest aktywnie wykorzystywana przez cyberprzestępców.
Podatne systemy
- HPE OneView w wersjach:
5.20 – 10.20 (włącznie)
Działania zapobiegawcze
Zalecamy pilną aktualizację do wersji 11.00 lub innej wyższej wersji wskazanej przez producenta.
Dlaczego to ważne
Niska złożoność ataku, brak wymaganej autoryzacji oraz możliwość pełnego przejęcia kontroli nad infrastrukturą czynią podatność jednym z najpoważniejszych zagrożeń dla środowisk korzystających z HPE OneView.