Uočena je značajna sigurnosna ranjivost u HPE OneView for VMware vCenter (OV4VC) platformi, koja bi mogla omogućiti napadačima sa ograničenim pristupom da podignu svoja ovlašćenja na administratorski nivo.
Ova ranjivost, identifikovana pod oznakom CVE-2025-37101, pogađa sve verzije softvera prije izdanja 11.7 i ima visoku ocjenu ozbiljnosti CVSS od 8.7, što ukazuje na značajan rizik za korporativna okruženja.
**Sažetak:**
1. HPE OneView for VMware vCenter posjeduje nedostatak u proširenju privilegija (CVE-2025-37101) koji korisnicima sa samo mogućnošću čitanja omogućava dobijanje administratorskog pristupa.
2. Ovaj propust utiče na sve verzije softvera prije v11.7, ugrožavajući cjelovitost i dostupnost sistema.
3. Sve implementacije HPE OneView sa komponentama Operations Manager i Log Insight su podložne neovlaštenom pristupu.
4. Kako bi se otklonio sigurnosni rizik, preporučuje se hitno ažuriranje na verziju 11.7 ili noviju putem My HPE Software Center.
**Nedostatak Vertikalnog Proširenja Privilegija**
Sigurnosni propust omogućava ono što stručnjaci za kibernetičku sigurnost nazivaju “vertikalnim proširenjem privilegija”, gdje napadač koji posjeduje samo ovlasti za čitanje može iskoristiti ranjivost za izvršavanje administrativnih radnji, obično rezerviranih za korisnike s povišenim ovlastima. Prema timu za odgovor na sigurnosne proizvode kompanije HPE, ovu ranjivost bi mogli iskoristiti zlonamjerni akteri koji su već stekli početni pristup sistemu s ograničenim ovlastima.
Ranjivost je klasificirana prema Common Vulnerability Scoring System (CVSS) Verziji 3.1 s vektorskim nizom CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H. Ova tehnička notacija ukazuje da se napad može izvršiti putem mreže s niskom složenošću, zahtijeva niske ovlasti i uključuje interakciju korisnika, dok potencijalno uzrokuje visok utjecaj na integritet i dostupnost pogođenih sistema.
Ranjivost je specifično usmjerena na HPE OneView for VMware vCenter sa komponentama Operations Manager i Log Insight, što je čini posebno zabrinjavajućom za preduzeća koja se oslanjaju na HPE-ova rješenja za upravljanje infrastrukturom. Mogućnost da operateri vrše administrativne radnje putem proširenja privilegija predstavlja značajne sigurnosne rizike, potencijalno dopuštajući neovlaštene promjene konfiguracije, pristup podacima ili prekide rada sistema.
Sigurnosni timovi preduzeća bi trebali biti posebno zabrinuti zbog ove ranjivosti s obzirom na njenu osnovnu CVSS ocjenu od 8.7, koja je svrstava u kategoriju “Visoke” ozbiljnosti.
| Faktori Rizika | Detalji |
|————————|————————————————————————————–|
| Pogođeni proizvodi | HPE OneView for VMware vCenter sa Operations Manager i Log Insight – Sve verzije prije v11.7 |
| Utjecaj | Lokalno proširenje ovlasti |
| Preduvjeti za eksploataciju | – Mrežni pristup sistemu
– Niske ovlasti (samo čitanje)
– Potrebna interakcija korisnika
– Niska složenost napada |
| CVSS 3.1 Ocjena | 8.7 (Visoka) |
**Dostupan Paket Ispravki**
HPE je objavio sveobuhvatno rješenje za ovaj sigurnosni problem putem HPE OneView for VMware vCenter v11.7, koje rješava ranjivost proširenja privilegija. Organizacije koje trenutno koriste pogođene verzije trebale bi dati prioritet ažuriranju na ovo najnovije izdanje, dostupno putem portala My HPE Software Center.
IT administratori bi trebali odmah implementirati ovaj ispravak kako bi spriječili potencijalnu eksploataciju ove ranjivosti u produkcijskim okruženjima. Stručnjaci za sigurnost preporučuju organizacijama da pregledaju svoje trenutne implementacije HPE OneView i ubrzaju proces ažuriranja, posebno u okruženjima gdje više korisnika ima različite nivoe pristupa sistemu.
