HPE OneView: Kritische Code-Injection ermöglicht unauthentifizierte Remote-Code-Ausführung

Hewlett Packard Enterprise warnt vor einer kritischen Sicherheitslücke in HPE OneView, die es entfernten, nicht authentifizierten Angreifern erlaubt, beliebigen Code auszuführen. Die Schwachstelle wird unter CVE-2025-37164 geführt und erreicht mit einem CVSS-Score von 10.0 die höchste Kritikalitätsstufe.

Betroffen sind alle Versionen von HPE OneView bis einschließlich 10.20. Ursache ist eine Code-Injection-Schwachstelle, die unter CWE-94 eingeordnet wird und eine vollständige Kompromittierung der betroffenen Management-Appliance ermöglicht. Hinweise auf eine aktive Ausnutzung in Ransomware-Kampagnen liegen derzeit nicht vor.

HPE hat Sicherheits-Hotfixes für OneView-Versionen von 5.20 bis 10.20 veröffentlicht. Diese müssen nach bestimmten Upgrades, etwa beim Wechsel von Version 6.60 auf 7.00 oder nach einer Neuinstallation des Synergy Composer, erneut eingespielt werden. Organisationen werden aufgefordert, die von HPE bereitgestellten Mitigations umgehend umzusetzen oder den Einsatz des Produkts einzustellen, falls dies nicht möglich ist. Die Schwachstelle wurde am 7. Januar 2026 in die Known-Exploit-Liste der CISA aufgenommen.

Related Posts

Coolify: Drei kritische Schwachstellen ermöglichen Root-RCE und SSH-Schlüsseldiebstahl

Am 5. Januar 2026 wurden drei schwerwiegende Sicherheitslücken in der Self-Hosting-Plattform Coolify veröffentlicht, die es niedrig privilegierten Nutzern ermöglichen, vollständige Systemkompromittierungen zu erreichen. Die Schwachstellen sind unter den Kennungen CVE-2025-64419, CVE-2025-64420 und CVE-2025-64424 registriert und betreffen mehrere Kernfunktionen der Plattform.

Read More

EU-Kommission plant verbindliches Huawei-Verbot im Cybersecurity Act

Laut einem Bericht von Golem erwägt die EU-Kommission, den Einsatz chinesischer Technologieanbieter wie Huawei und ZTE in kritischen Infrastrukturen künftig verpflichtend zu untersagen. Hintergrund ist eine geplante Überarbeitung des Cybersecurity Acts, die am 14. Januar 2026 vorgestellt werden soll. Damit würden die bislang freiwilligen Maßnahmen der sogenannten ICT Toolbox verbindlich umgesetzt, die den Ausschluss von Technik aus als nicht vertrauenswürdig eingestuften Staaten vorsieht.

Read More

Gmail erhält KI-gestütztem Posteingang

Google hat den Start der sogenannten Gemini-Ära für Gmail angekündigt und führt 2026 umfangreiche KI-Funktionen ein, die den E-Mail-Alltag stärker automatisieren sollen. Ziel ist es, Gmail von einem reinen Postfach zu einem proaktiven, persönlichen Assistenten weiterzuentwickeln.

Read More