Hewlett Packard Enterprise warnt vor einer kritischen Sicherheitslücke in HPE OneView, die es entfernten, nicht authentifizierten Angreifern erlaubt, beliebigen Code auszuführen. Die Schwachstelle wird unter CVE-2025-37164 geführt und erreicht mit einem CVSS-Score von 10.0 die höchste Kritikalitätsstufe.
Betroffen sind alle Versionen von HPE OneView bis einschließlich 10.20. Ursache ist eine Code-Injection-Schwachstelle, die unter CWE-94 eingeordnet wird und eine vollständige Kompromittierung der betroffenen Management-Appliance ermöglicht. Hinweise auf eine aktive Ausnutzung in Ransomware-Kampagnen liegen derzeit nicht vor.
HPE hat Sicherheits-Hotfixes für OneView-Versionen von 5.20 bis 10.20 veröffentlicht. Diese müssen nach bestimmten Upgrades, etwa beim Wechsel von Version 6.60 auf 7.00 oder nach einer Neuinstallation des Synergy Composer, erneut eingespielt werden. Organisationen werden aufgefordert, die von HPE bereitgestellten Mitigations umgehend umzusetzen oder den Einsatz des Produkts einzustellen, falls dies nicht möglich ist. Die Schwachstelle wurde am 7. Januar 2026 in die Known-Exploit-Liste der CISA aufgenommen.
