惠普公司就其旗舰级基础设施管理软件 OneView 存在的严重数据安全漏洞发出预警。该漏洞编号为 CVE – 2025 – 37164，其通用漏洞评分系统（CVSS）得分为满分 10.0，这意味着未打补丁的系统正面临紧迫且致命的威胁。

此数据安全漏洞允许未验证身份的攻击者实施远程代码执行操作。HPE OneView 堪称混合云环境的自动化核心，负责管理服务器、存储设备和网络设备。一旦该软件被入侵，就相当于数据中心的 “大脑” 遭人掌控。据安全公告显示，攻击者无需登录，就能远程执行任意代码。实际上，这意味着不法分子无需窃取任何登录凭证，就能通过网络夺取这款管理设备的控制权。入侵成功后，他们或许能破坏业务运营流程、植入勒索软件，甚至操控该软件所管理的实体硬件。此漏洞影响 HPE OneView 的所有版本，凡是低于 11.00 版本的软件均在受影响范围内。

惠普公司已紧急推出解决方案，并督促所有用户立刻采取应对措施。

修复该漏洞的主要方式是全面升级软件。该公司表示：“惠普 OneView 11.00 及更高版本已修复此漏洞。” 管理员可通过惠普软件中心或惠普协同软件发布平台下载升级包。

对于运行 5.20 至 10.20 版本、暂时无法升级至 11.00 版本的用户，惠普公司也发布了安全热修复程序。但安装此补丁有一项关键注意事项，若忽视该事项，系统仍可能处于易受攻击的状态。

惠普公司提醒，此热修复程序在特定版本升级过程中无法保留防护效果。“当设备从惠普OneView 6.60.xx 版本升级至 7.00.00 版本时，包括对惠普协同集成器重新镜像后，必须重新安装该安全热修复程序。”

相关管理员需尽快核实自身所用软件版本，并立即安装补丁。要知道，勒索软件团伙和国家背景黑客组织往往会优先利用这类 CVSS 满分的高危漏洞发起攻击。

（来源：安全客）