Vulnerabilidad Crítica en HPE OneView
Hewlett Packard Enterprise (HPE) anunció el descubrimiento de una nueva vulnerabilidad en su producto HPE OneView, software utilizado para la administración y automatización de infraestructura tecnológica como servidores, almacenamiento y dispositivos de red, desde una interfaz centralizada. La vulnerabilidad anunciada puede permitir a un atacante la ejecución de código arbitrario de forma remota, y el peligro ha aumentado, pues se ha hecho pública una prueba de concepto para la explotación de esta vulnerabilidad, en conjunto con un módulo de Metasploit.
CVE-2025-37164
Esta vulnerabilidad, que afecta al producto HPE OneView, cuenta con una calificación CVSS3.1 de 10.0 (la más alta), debido a que permite la ejecución de código remoto (RCE) sin necesidad de autenticación. El componente afectado se llama “id-pools” y forma parte del endpoint REST API. Lo realmente peligroso es que la complejidad para explotar esta vulnerabilidad es muy baja, ya que el endpoint de API está configurado para sobrepasar la autenticación (NO_AUTH), y basta con enviar una petición del tipo PUT hacia el endpoint con comandos maliciosos de forma privilegiada en el sistema.
Rapid7 realizó un análisis técnico para demostrar la viabilidad y partes involucradas en la explotación de esta vulnerabilidad, además de la publicación de un módulo de Metasploit, lo cual podría facilitar el proceso de explotación por actores maliciosos.
Versiones Afectadas
| Productos | Versiones afectadas | Versiones corregidas |
| HPE OneView | Todas las versiones anteriores a la 11.0 | Versión 11.0 y posteriores |
Recomendaciones
- No existen mitigaciones temporales, por lo que se recomienda urgentemente actualizar la versión 11.0 o posteriores de HPE OneView.
- Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque.
- Establecer reglas de detección de peticiones HTTP sospechosas.
- Auditar herramientas de acceso remoto. (NIST CSF, 2024)
- Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
- Limitar estrictamente el uso de los protocolos SMB y RDP.
- Realizar auditorías de seguridad. (NIST CSF, 2024)
- Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
- Tener filtros de correo electrónico y spam.
- Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
- Realizar copias de seguridad, respaldos o back-ups constantemente.
- Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
- Revisar continuamente los privilegios de los usuarios.
- Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
- Habilitar la autenticación multifactorial.
Referencias
- Divya. (2025, Diciembre 22). HPE OneView RCE Vulnerability Exploited via Newly Released PoC. GBHackers. Recuperado el 22 de Diciembre, en: https://gbhackers.com/hpe-oneview-rce-vulnerability-exploited-newly-released-poc/
- Gatlan, S. (2025, Diciembre 18). HPE warns of maximum severity RCE flaw in OneView software. BleepingComputer. Recuperado el 22 de Diciembre, en: https://www.bleepingcomputer.com/news/security/hpe-warns-of-maximum-severity-rce-flaw-in-oneview-software/
- Rapid7. (2025, Diciembre 18). CVE-2025-37164: Critical unauthenticated RCE affecting Hewlett Packard Enterprise OneView. Rapid7. Recuperado el 22 de Diciembre, en: https://www.rapid7.com/blog/post/etr-cve-2025-37164-critical-unauthenticated-rce-affecting-hewlett-packard-enterprise-oneview/
