HPE OneView vereist patch voor kwetsbaarheid met hoogste CVE-score

Hewlett Packard Enterprise heeft een kritieke kwetsbaarheid in OneView Software opgelost die remote code execution mogelijk maakt. De fout kreeg de maximale CVSS-score van 10.0 en is inmiddels verholpen in versie 11.00.

HPE maakt via een securityadvies bekend dat de kwetsbaarheid met nummer CVE-2025-37164 uiterst gevaarlijk is. Een ongeauthenticeerde aanvaller kan op afstand code uitvoeren door gebruik te maken van deze fout. OneView is een IT-infrastructuurbeheeroplossing die alle systemen binnen organisaties vanaf één centraal dashboard bestuurt.

“Er is een potentiële beveiligingskwetsbaarheid geïdentificeerd in Hewlett Packard Enterprise OneView Software. Deze kwetsbaarheid zou uitgebuit kunnen worden, waardoor een externe, niet-geverifieerde gebruiker remote code execution kan uitvoeren,” aldus HPE in het advies dat deze week verscheen.

Versies en oplossingen

De beveiligingsfout treft alle versies van de software vóór versie 11.00. Met die nieuwe versie lost HPE het probleem op. Daarnaast komt het bedrijf met een hotfix voor OneView-versies 5.20 tot en met 10.20.

Er is een belangrijk aandachtspunt bij het installeren van de hotfix. Bij een upgrade van versie 6.60 of later naar 7.00.00 moet de patch opnieuw worden toegepast. Ook na herinstallaties van HPE Synergy Composer is de hotfix weer nodig. Voor de OneView virtual appliance en Synergy Composer2 zijn aparte hotfixes beschikbaar.

Geen bewijs van actieve aanvallen

Volgens beveiligingsonderzoeker Nguyen Quoc Khanh, die de kwetsbaarheid meldde, ontstaat het probleem door onjuiste input-validatie in een REST API-endpoint. HPE zelf noemt niet dat de fout in de praktijk wordt uitgebuit. Toch benadrukt het bedrijf dat gebruikers de patches zo snel mogelijk moeten installeren voor optimale bescherming.

In juni van dit jaar bracht HPE al updates uit voor acht kwetsbaarheden in de StoreOnce data backup- en deduplicatie-oplossing. Die problemen konden leiden tot een authentication bypass en remote code execution. Ook verscheen OneView versie 10.00 om bekende fouten in third-party componenten zoals Apache Tomcat en Apache HTTP Server te verhelpen.

Lees ook: Meta slaat alarm: React Server Components bevat ernstige kwetsbaarheid

Lees meer over Security

Topartikel

Securityspelers haken af bij MITRE’s ATT&CK-evaluaties: waarom?

Dit jaar kwam MITRE bovenal in het nieuws doordat de toonaangevende kwetsbaarheden-database dreigde niet meer...

Erik van Klinken 12 december 2025

Expert aan het woord

Tech calendar

HPE OneView vereist patch voor kwetsbaarheid met hoogste CVE-score

Versies en oplossingen

Geen bewijs van actieve aanvallen

Blijf op de hoogte, abonneer!

China bouwt ‘kopie’ van ASML-machine, maar hoeveel progressie is er?

Databasebeheer anno 2025: hoe de DBA zich opnieuw uitvindt

ServiceNow wil securitybedrijf Armis kopen voor 7 miljard

OpenAI-deal voor DRAM zet wereldwijde elektronicaprijzen onder druk

How VMware VCF 9 and Tanzu simplify enterprise automation

Why Salesforce built three levels of AI commerce agents

What makes Salesforce agents reliable? Architecture explained

Qualcomm tells us how ARM chips will disrupt the enterprise PC market

Wanneer minder meer is: het gebruik van Small Language Models biedt vele voordelen

De 47-dagen regel is geen technische formaliteit, maar een wake-up call

Wat heb je nodig om de evolutie van Agentic AI te blijven volgen?

Appdevcon

Webdevcon

Dutch PHP Conference

GITEX ASIA 2026

SAS Innovate 2026

Team '26

Hoe je stap voor stap een AI-gedreven kennisapplicatie bouwt

Waarom automatisering onmisbaar is in moderne cybersecurity

Wat is cyberrisico en waarom doet het ertoe?

XDR uitgelegd: waarom brede zichtbaarheid cruciaal is