文章总结： HPEOneView发现CVSS10.0严重漏洞CVE-2025-37164，无需认证即可远程执行任意代码，可致数据中心管理平台被接管。影响11.00以下所有版本，建议用户立即升级至11.00或安装热补丁，并注意特定升级场景需重装补丁，以防范潜在攻击风险。 综合评分： 80 文章分类： 漏洞预警,网络安全,漏洞分析

最高危漏洞威胁数据中心“大脑”！惠普OneView曝CVSS 10.0级漏洞，可致远程任意代码执行

原创

甲子元

安全代码

2025年12月29日 07:28 山西

近日，惠普公司就其旗舰级基础设施管理软件OneView发布紧急安全预警，该软件存在一个CVSS评分达满分10.0的严重漏洞（CVE-2025-37164）。该漏洞允许未经身份验证的攻击者远程执行任意代码，一旦被利用，攻击者可能直接接管数据中心核心管理系统，破坏业务运营、植入勒索软件甚至操控实体硬件，构成极端严重的安全威胁。

漏洞详情：无需凭证，远程夺取管理平台控制权

HPE OneView作为混合云环境的核心自动化管理平台，负责统一管控服务器、存储及网络设备，堪称数据中心的“大脑”。根据安全公告，攻击者无需任何登录凭证，即可通过网络远程利用该漏洞执行任意代码。这意味着，未修复的系统面临着被完全接管的风险，攻击者可能借此中断业务、加密数据或直接操控其管理的物理设备。

影响范围：所有低于11.00版本均受影响

该漏洞影响HPE OneView所有低于11.00版本的软件，覆盖范围广泛。鉴于该软件在企业关键基础设施中的核心地位，漏洞一旦被勒索软件团伙或国家级攻击组织利用，可能导致大规模业务瘫痪与数据灾难。

修复方案：紧急升级或安装热补丁

惠普公司已紧急推出修复方案，建议所有用户立即行动：

• 主要修复方式为升级至OneView 11.00或更高版本，该版本已彻底修复此漏洞；
• 对于暂时无法升级的5.20至10.20版本用户，惠普提供了安全热修复程序。

但惠普特别强调，热修复程序在特定升级场景下可能失效：“当设备从OneView 6.60.xx版本升级至7.00.00版本，或对惠普协同集成器重新镜像后，必须重新安装该热修复程序。”若忽略此步骤，系统仍将处于暴露状态。

安全呼吁：立即核查版本，防范高危攻击

鉴于CVSS 10.0分级漏洞的极端危险性，安全专家强烈建议相关企业管理员立即核查所使用的OneView版本，并尽快通过惠普软件中心或协同软件发布平台下载并安装相应补丁，避免成为下一轮大规模攻击的目标。

新闻来源：惠普安全公告、安全客

山西甲子元科技有限公司

产品介绍：

软件：防泄密、行为管理、行为审计、云文档安全管理、数据智能备份等安全管理系统。

电话：0351-3366668

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全代码 甲子元《最高危漏洞威胁数据中心“大脑”！惠普OneView曝CVSS 10.0级漏洞，可致远程任意代码执行》