概述

2025年12月17日，惠普企业（HPE）发布了关于CVE-2025-37164的安全公告，这是HPE OneView中的一个CVSS 10.0漏洞。该漏洞由安全研究员Nguyen Quoc Khanh报告给HPE，能够在11.0之前的HPE OneView版本上实现未授权的远程代码执行（RCE）。建议防御者优先升级到11.0版本或尽快应用紧急热补丁（HPE OneView虚拟设备热补丁、HPE Synergy热补丁）。

OneView位于企业基础设施的特权控制平面，因此成功利用此漏洞不仅仅是建立远程代码执行，而是大规模获得对服务器、固件和生命周期管理的集中控制。这里真正令人担忧的是暴露面和信任假设。管理平台通常部署在网络深处，拥有广泛的权限和最少的监控，因为它们“理应”是可信的。当未授权的RCE出现在该层时，防御者需要将其视为“假定已失陷”的场景，立即优先修补，并审查访问路径和网络分段。

更新 #1：关于CVE-2025-37164的Rapid7技术分析已在AttackerKB上发布，并且Metasploit模块现已可用。

热补丁分析

Rapid7实验室已开始对供应商提供的热补丁HPE_OneView_CVE_37164_Z7550-98077.bin进行初步分析。该热补丁为设备的Web服务器应用了一条新的HTTP规则，以阻止对特定REST API端点的访问。此端点为/rest/id-pools/executeCommand。对设备代码的初步检查表明，该端点无需身份验证即可访问。Rapid7实验室高度确信，这是触发漏洞并实现远程代码执行的访问途径。

修复指南

根据HPE的信息，CVE-2025-37164影响11.0以下的HPE OneView版本，即5.20版至10.20版，除非已应用安全热补丁（HPE OneView虚拟设备热补丁、HPE Synergy热补丁）。

有关HPE OneView的最新缓解指南，请参考供应商的安全公告。

Rapid7客户

Exposure Command、InsightVM和Nexpose Exposure Command、InsightVM和Nexpose客户可以通过一个未授权的漏洞检查来评估对CVE-2025-37164的暴露情况，该检查预计将在今天（12月18日）的内容发布中提供。

更新日志

• 2025年12月18日：首次发布。
• 2025年12月19日：更新以链接到Rapid7关于CVE-2025-37164的新技术分析和Metasploit模块。

文章标签

• Emergent Threat Response
• Rapid7