U Hewlett-Packard Enterprise OneView for VMware vCenter (OV4VC) platformi postoji značajna bezbjednosna ranjivost koja bi mogla omogućiti napadačima sa ograničenim pristupom da povećaju svoja ovlaštenja do administratorskih nivoa.
Ova ranjivost, pod oznakom CVE-2025-37101, pogađa sve verzije softvera prije verzije 11.7 i ima visok CVSS rejting od 8.7, što ukazuje na značajan rizik za korporativna okruženja.
Ovaj propust u HPE OneView for VMware vCenter omogućava korisnicima sa samo pravom čitanja da steknu administratorski pristup, što kompromituje integritet i dostupnost sistema. Sva HPE OneView implementacija sa komponentama Operations Manager i Log Insight podložna su neovlaštenom pristupu. Preporučuje se hitna nadogradnja na verziju 11.7 ili noviju putem My HPE Software Centra kako bi se otklonio sigurnosni rizik.
Ovaj sigurnosni propust omogućava ono što stručnjaci za sajberbezbjednost nazivaju “vertikalnim eskalacijom privilegija”, gdje napadač posjedujući samo dozvole samo za čitanje može iskoristiti ranjivost za izvršavanje administrativnih radnji koje su tipično rezervisane za korisnike sa povišenim dozvolama.
Prema timu za odgovor na sigurnosne proizvode kompanije HPE, ovu ranjivost mogu iskoristiti zlonamjerni akteri koji su već ostvarili početni pristup sistemu sa ograničenim ovlastima.
Ranjivost je klasifikovana u skladu sa sistemom Common Vulnerability Scoring System (CVSS) verzija 3.1 sa vektorskim nizom CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H. Ova tehnička notacija ukazuje da se napad može izvršiti preko mreže sa niskom složenošću, zahtijeva niske nivoe privilegija i uključuje interakciju korisnika, dok potencijalno uzrokuje visoki utjecaj kako na integritet, tako i na dostupnost pogođenih sistema.
Ranjivost se eksplicitno fokusira na HPE OneView for VMware vCenter sa komponentama Operations Manager i Log Insight, što je posebno zabrinjavajuće za preduzeća koja se oslanjaju na HPE-ova rješenja za upravljanje infrastrukturom. Mogućnost administratora da vrše administrativne radnje putem eskalacije privilegija predstavlja značajne sigurnosne rizike, potencijalno omogućavajući neovlaštene promjene konfiguracije, pristup podacima ili ometanje rada sistema.
Korporativni sigurnosni timovi bi trebali biti posebno zabrinuti zbog ove ranjivosti, s obzirom na njen osnovni CVSS rejting od 8.7, koji je svrstava u kategoriju “Visoke” ozbiljnosti.
Faktori rizika uključuju pogođene proizvode: HPE OneView for VMware vCenter sa Operations Manager i Log Insight – sve verzije prije v11.7. Utjecaj je lokalna eskalacija privilegija. Preduslovi za iskorištavanje uključuju mrežni pristup sistemu, niske nivoe privilegija (samo za čitanje), potrebnu interakciju korisnika i nisku složenost napada. CVSS 3.1 rejting je 8.7 (Visok).
HPE je objavio sveobuhvatno rješenje za ovaj sigurnosni problem putem HPE OneView for VMware vCenter verzije 11.7, koja rješava ranjivost eskalacije privilegija. Organizacije koje trenutno koriste pogođene verzije trebale bi dati prioritet ažuriranju na ovo najnovije izdanje, dostupno putem portala My HPE Software Center. IT administratori bi trebali odmah primijeniti ispravku kako bi spriječili potencijalno iskorištavanje ove ranjivosti u produkcijskim okruženjima. Sigurnosni stručnjaci preporučuju da organizacije provjere svoje trenutne implementacije HPE OneView i ubrzaju proces nadogradnje, posebno u okruženjima gdje više korisnika ima različite nivoe pristupa sistemu.