Praćena kao CVE-2025-37164, kritična ranjivost može omogućiti neautentifikovanim, udaljenim napadačima izvršavanje proizvoljnog koda.
Hewlett Packard Enterprise (HPE) je ove sedmice objavila zakrpe za ranjivost kritične težine koja omogućava udaljeno izvršavanje koda u njenom OneView softveru za upravljanje IT infrastrukturom.
Ranjivost je praćena kao CVE-2025-37164 i ima CVSS ocjenu 10, a prema kratkom bezbjednosnom obavještenju kompanije, može se iskoristiti bez autentifikacije.
HPE ne navodi da li je ranjivost već iskorišćena u realnim napadima, ali snažno preporučuje korisnicima da što prije ažuriraju svoje sisteme na verzije koje sadrže zakrpe.
Prema navodima HPE-a, problem pogađa sve verzije OneView-a do verzije 10.20. Kompanija je objavila hitne zakrpe za korisnike OneView-a i preporučuje da se instalacije verzije 6.60.xx prethodno nadograde na verziju 7.00 prije primjene zakrpe. Takođe se preporučuje ažuriranje HPE Synergy Composer reimage sistema.
Bezbjednosne zakrpe za HPE OneView virtuelni appliance dostupne su na zvaničnoj stranici kompanije, dok se zakrpa za HPE Synergy CVE može pronaći na posebnoj lokaciji.
HPE nije objavila tehničke detalje o slabosti, ali je zahvalila Nguyen Quoc Khanhu na njenom prijavljivanju.
Ove sedmice, HPE je takođe objavila zakrpe za tri ranjivosti u zavisnostima koje se koriste u Telco Service Activator platformi za provisioniranje i aktivaciju servisa.
Ranjivosti, praćene kao CVE-2025-49146, CVE-2025-55163 i CVE-2025-7962, pogađaju open source PostgreSQL JDBC drajver PgJDBC, Netty mrežni aplikativni framework i Jakarta Mail.
Uspješna eksploatacija ovih grešaka, navodi kompanija, može dovesti do zaobilaženja autentifikacije, uskraćivanja usluge (DoS) i CRLF (Carriage Return Line Feed) injekcije.
Pogođene su sve verzije HPE Telco Service Activator platforme do verzije 10.3.2, dok su zakrpe za ove tri ranjivosti uključene u verziju 10.3.3.
Ni ove ranjivosti, prema dostupnim informacijama, nisu bile iskorišćene u napadima usmjerenim na korisnike HPE Telco Service Activator platforme.
Izvor: SecurityWeek
