HPE OneView高危RCE漏洞CVE-2025-37164被列入CISA KEV目录

本文详细分析了HPE OneView基础设施管理平台中一个未认证的远程代码执行漏洞CVE-2025-37164。该漏洞CVSS评分为10.0,允许攻击者通过不安全的REST API端点执行任意命令。文章介绍了漏洞的技术细节、时间线、受影响版本、修复方案及检测缓解措施。

HPE OneView RCE CVE-2025-37164 被列入 CISA KEV

HPE OneView 中的一个严重的未经身份验证的远程代码执行漏洞,编号为 CVE-2025-37164,已被添加到美国网络安全和基础设施安全局的已知被利用漏洞目录中,原因是在野外发现了已确认的利用活动。

漏洞概览

CVE-2025-37164 的最高 CVSS v3.1 评分为 10.0,使得攻击者能够通过不安全的 REST API 端点 /rest/id-pools/executeCommand 在无需认证的情况下执行任意代码。HPE OneView 用于管理企业IT基础设施,包括服务器、存储和网络,因此成功利用该漏洞将对数据中心控制产生重大影响。

时间线

  • HPE 于 2025 年 12 月 17 日至 18 日披露并修补了该漏洞,受影响版本为 5.20 至 10.20。
  • 公开的概念验证利用代码和 Metasploit 模块在之后不久出现,导致了快速的现实世界攻击。
  • CISA 于 2026 年 1 月 7 日将其添加到 KEV 目录,同时列入的还有一个遗留的 Microsoft Office 漏洞。根据 BOD 22-01 指令,联邦机构需在 1 月 28 日前完成修复。

技术细节

该漏洞源于 API 中的输入验证不当,允许通过带有恶意 “cmd” 参数的简单 HTTP PUT 请求进行代码注入。HPE 的热修复补丁通过 /etc/httpd/conf.d/crypto/dynamic-ssl.conf 中的 Apache 重写规则来阻止对该端点的访问,使其返回 HTTP 404 错误。

受影响产品与修复

  • 受影响版本:HPE OneView 5.20 至 10.20。
  • 修复方案:立即升级至 11.0 版本或应用紧急热修复补丁。
  • 检测:使用 Nuclei 模板或供应商扫描器;检查异常的 API 访问日志。

入侵指标

  • 发送至 /rest/id-pools/executeCommand 的可疑 HTTP PUT 请求。
  • 利用后出现的新进程或持久化机制。
  • 监控 Metasploit 签名或 PoC 流量模式。

缓解策略

优先修补 HPE OneView 实例,特别是内部网络中具有广泛权限的实例。实施网络分段、限制 API 暴露,并启用日志记录以进行异常检测。使用 Qualys 或 Nessus 等工具扫描环境中未修补的系统;审查基础设施模板,检查是否存在权限过高的情况。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次