CISA tags max severity HPE OneView flaw as actively exploited

Faille critique dans HPE OneView exploitée activement

L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a classé une vulnérabilité de sécurité de gravité maximale dans le logiciel HPE OneView comme étant activement exploitée lors d’attaques.

Points clés :

• Le logiciel HPE OneView permet aux administrateurs informatiques de gérer de manière centralisée le stockage, les serveurs et les périphériques réseau.
• Cette faille est classifiée comme critique et est déjà utilisée par des acteurs malveillants.

Vulnérabilité :

• CVE-2025-37164 : Une vulnérabilité de type injection de code permettant une exécution de code à distance. Elle affecte toutes les versions de OneView antérieures à la v11.00. L’exploitation est possible par des acteurs non authentifiés avec une faible complexité.

Recommandations :

• Mise à jour immédiate : Il est conseillé de mettre à jour HPE OneView vers la version 11.00 ou ultérieure dès que possible.
• Aucun contournement disponible : Il n’existe pas de solutions de contournement ou d’atténuations pour cette vulnérabilité.
• Urgence pour les agences fédérales : Les agences fédérales américaines ont un délai de trois semaines pour sécuriser leurs systèmes conformément à la directive opérationnelle contraignante (BOD) 22-01.
• Recommandation générale : Toutes les organisations, y compris celles du secteur privé, sont encouragées à appliquer les correctifs rapidement pour se protéger contre cette faille activement exploitée.

Source