Kritische Schwachstelle in HPE OneView: Angreifer können ohne Authentifizierung Schadcode ausführen

Maximale Gefahrenstufe für Infrastruktur-Management-Plattform

Die Infrastruktur-Management-Software HPE OneView ist von einer Sicherheitslücke mit höchster Kritikalitätsstufe betroffen. Angreifer können die Schwachstelle ausnutzen, um ohne vorherige Anmeldung Schadcode über das Internet einzuschleusen und zur Ausführung zu bringen. Hewlett Packard Enterprise hat ein Update sowie mehrere Patches veröffentlicht.

Unauthentifizierter Fernzugriff möglich

HPE OneView fungiert als zentrale Verwaltungsplattform für IT-Infrastrukturkomponenten, darunter Server, Speicherlösungen und Netzwerkressourcen. In einer am Dienstag publizierten Schwachstellenmeldung beschreibt der Hersteller die Problematik knapp: Ein Remote-Code-Execution-Problem existiere in HPE OneView (CVE-2025-37164, CVSS 10.0, Einstufung „kritisch“).

Die offizielle Sicherheitsmitteilung auf der Unternehmenswebsite bietet kaum zusätzliche Details, nennt jedoch die wesentlichen Rahmenbedingungen: Eine identifizierte Sicherheitslücke in der HPE OneView-Software könnte ausgenutzt werden, um nicht-authentifizierten Anwendern aus dem Netzwerk die Fernausführung von Code zu ermöglichen.

Technische Details bleiben unspezifiziert

Konkrete Informationen zur technischen Beschaffenheit der Schwachstelle oder mögliche Angriffsszenarien legt HPE nicht offen. Sämtliche Versionen unterhalb der kürzlich freigegebenen Version 11.00 sind von der Problematik betroffen. Der Hersteller stellt die aktuelle Version im HPE Software Center zum Herunterladen bereit.

Patches für Legacy-Versionen verfügbar

Zusätzlich zur aktuellen Version bietet HPE im Software Center Hotfixes für ältere OneView-Versionen zwischen 5.20 und 10.20 an. Der Hersteller weist darauf hin, dass der Hotfix nach einem Versionssprung von OneView 6.60.xx auf 7.00.00 erneut installiert werden muss. Gleiches gilt nach der Anwendung von HPE Synergy Composer.

Sofortige Maßnahmen empfohlen

Angesichts der maximalen Gefahreneinstufung sollten Administratoren die Sicherheitsaktualisierung unverzüglich herunterladen und implementieren. Die Kombination aus fehlender Authentifizierungsanforderung und der Möglichkeit zur Remote-Code-Ausführung macht diese Schwachstelle zu einem prioritären Sicherheitsrisiko für betroffene IT-Infrastrukturen.

Mehr Details entdecken

Folgen Sie uns auf  X / Bluesky / Mastodon