美国网络安全与基础设施安全局（CISA）已将HPE OneView的一个最高危漏洞标记为在攻击中遭主动利用。

HPE的OneView基础设施管理软件可帮助IT管理员通过集中式界面自动化管理存储设备、服务器和网络设备。

该关键安全漏洞编号为CVE-2025-37164，由越南安全研究员Nguyen Quoc Khanh（brocked200）向HPE报告，HPE于12月中旬发布了安全补丁。

CVE-2025-37164影响v11.00之前发布的所有OneView版本，未经身份验证的威胁行为者可通过低复杂度代码注入攻击，在未打补丁的系统上实现远程代码执行。

HPE于12月16日警告称：“惠普企业版OneView软件中已发现潜在安全漏洞。该漏洞可能被利用，允许未经身份验证的远程用户执行远程代码。”

CVE-2025-37164暂无缓解措施，因此HPE建议客户尽快升级至OneView 11.00或更高版本（可通过HPE软件中心获取）。

CISA还将该漏洞添加至其野外利用漏洞目录，根据2021年11月发布的《约束性操作指令22-01》要求，联邦民事行政部门机构需在三周内（即1月28日前）完成系统加固。

尽管BOD 22-01仅针对联邦机构，但CISA鼓励所有组织（包括私营机构）尽快针对此遭主动利用的漏洞修补设备。

CISA周三警告称：“请根据供应商说明实施缓解措施，遵循BOD 22-01对云服务的适用指导，若无法缓解则停止使用该产品。”

该机构补充道：“此类漏洞是恶意网络行为者的常用攻击载体，对联邦企业构成重大风险。”

今年7月，HPE还曾警告Aruba Instant On接入点存在硬编码凭证，可能使攻击者绕过标准设备认证。此前一个月，该公司为其StoreOnce基于磁盘的备份与重复数据删除解决方案修补了八个漏洞，包括三个远程代码执行漏洞和一个高危身份验证绕过漏洞。

HPE在2024年报告营收301亿美元，全球员工超6.1万人，为全球超过5.5万家组织提供服务与产品，其中涵盖90%的财富500强企业。