U Hewlett-Packard Enterprise OneView for VMware vCenter (OV4VC) platformi postoji značajan sigurnosni propust koji bi napadačima s ograničenim pristupom omogućio eskalaciju privilegija na administrativne nivoe. Ovaj propust, koji nosi oznaku CVE-2025-37101, pogađa sve verzije softvera prije izdanja 11.7 i ima visoku ocjenu kritičnosti CVSS od 8.7, što ukazuje na značajan rizik za korporativna okruženja.
Sigurnosni propust omogućava takozvanu “vertikalnu eskalaciju privilegija”, gdje napadač koji posjeduje samo privilegije za čitanje može iskoristiti ranjivost za obavljanje administrativnih radnji koje su obično rezervisane za korisnike s povišenim ovlastima. Prema timu za odgovor na sigurnosne probleme kompanije HPE, ovaj propust bi mogli iskoristiti zlonamjerni akteri koji su već ostvarili početni pristup sistemu s ograničenim ovlastima.
Vulnerabilnost je klasifikovana prema sistemu Common Vulnerability Scoring System (CVSS) verzija 3.1, sa vektorom CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H. Ova tehnička notacija sugerira da se napad može izvršiti putem mreže s niskom složenošću, zahtijeva niske nivoe privilegija i uključuje interakciju korisnika, istovremeno potencijalno uzrokujući visok utjecaj na integritet i dostupnost pogođenih sistema.
Propust cilja specifično HPE OneView for VMware vCenter sa komponentama Operations Manager i Log Insight, što ga čini posebno zabrinjavajućim za preduzeća koja se oslanjaju na HPE-ova rješenja za upravljanje infrastrukturom. Mogućnost da operateri vrše administrativne radnje putem eskalacije privilegija predstavlja značajne sigurnosne rizike, omogućavajući potencijalno neovlaštene promjene konfiguracija, pristup podacima ili narušavanje sistema.
Korporativni sigurnosni timovi bi trebali biti posebno zabrinuti zbog ovog propusta s obzirom na njegovu osnovnu CVSS ocjenu od 8.7, koja ga svrstava u kategoriju visoke kritičnosti.
HPE je objavio sveobuhvatno rješenje za ovaj sigurnosni problem putem HPE OneView for VMware vCenter v11.7, koje otklanja ranjivost eskalacije privilegija. Organizacije koje trenutno koriste pogođene verzije trebale bi dati prioritet ažuriranju na ovo najnovije izdanje, dostupno putem portala My HPE Software Center. IT administratori bi trebali odmah implementirati ovo rješenje kako bi spriječili potencijalno iskorištavanje ovog propusta u produkcijskim okruženjima. Sigurnosni stručnjaci preporučuju organizacijama da provjere svoje trenutne implementacije HPE OneView i ubrzaju proces ažuriranja, posebno u okruženjima gdje više korisnika ima različite nivoe pristupa sistemu.