كشفت شركة هيوليت باكارد للمؤسسات (HPE) عن معالجة ثغرة أمنية حرجة للغاية في برنامج OneView، يمكن أن تسمح بتنفيذ تعليمات برمجية عن بعد في حال استغلالها. تحمل الثغرة الرمز CVE-2025-37164، وتصنف بأعلى درجة خطورة (10.0) وفقاً لمقياس CVSS.
يُعد HPE OneView برنامجاً متخصصاً في إدارة البنية التحتية لتكنولوجيا المعلومات، ويهدف إلى تبسيط العمليات وتوحيد التحكم في جميع الأنظمة عبر واجهة مركزية. تم نشر هذا التحديث الأمني الهام لمعالجة الثغرة التي تؤثر على جميع الإصدارات القديمة من البرنامج.
التفاصيل الأمنية لثغرة HPE OneView
وفقاً للتحديثات الصادرة من HPE، فإن الثغرة الأمنية الخطيرة المكتشفة في برنامج OneView تتيح للمهاجمين غير المصرح لهم عن بعد فرصة لتنفيذ تعليمات برمجية خبيثة على الأنظمة المستهدفة. يعد هذا النوع من الثغرات من أخطر التهديدات التي تواجه المؤسسات، نظراً لقدرته على منح المهاجمين سيطرة كاملة على البيانات والأنظمة.
يستهدف هذا الخلل الأمني جميع إصدارات برنامج OneView التي سبقت الإصدار 11.00، والذي تم إصداره خصيصاً لسد هذه الفجوة الأمنية. ومع ذلك، توفر الشركة حلاً سريعاً للمستخدمين الذين لم يتمكنوا بعد من التحديث إلى الإصدار الأخير.
خيار التصحيح السريع (Hotfix)
قدمت HPE حلاً مؤقتاً على شكل “hotfix” للمساعدة في معالجة الثغرة في الإصدارات التي تتراوح بين 5.20 و 10.20. هذا الحل يسمح للمؤسسات بتعزيز أمن أنظمتها بشكل مؤقت حتى تتمكن من إجراء التحديث الكامل.
من المهم ملاحظة أن هذا التصحيح المؤقت يتطلب إعادة تطبيقه في حالات معينة. ينصح بتطبيقه مرة أخرى بعد الترقية من الإصدار 6.60 أو أحدث إلى الإصدار 7.00.00، وكذلك بعد إجراء أي عمليات إعادة تهيئة لوحدة HPE Synergy Composer. تتوفر تصحيحات منفصلة للتطبيقات الافتراضية لـ OneView ووحدات Synergy Composer2.
على الرغم من أن HPE لم تذكر أي تقارير حول استغلال هذه الثغرة في بيئات الإنتاج الفعلية، فإن التوصية الأساسية تتمثل في ضرورة قيام المستخدمين بتطبيق التحديثات والتصحيحات المتاحة في أقرب وقت ممكن لضمان حماية مثلى لأنظمتهم.
في تطورات سابقة، قامت HPE في يونيو الماضي بإصدار تحديثات لمعالجة ثماني ثغرات أخرى في حل النسخ الاحتياطي للبيانات وعمليات إزالة البيانات الزائدة StoreOnce. تلك الثغرات كانت تتيح إمكانية تجاوز المصادقة وتنفيذ تعليمات برمجية عن بعد. كما قامت الشركة بشحن الإصدار 10.00 من OneView لمعالجة مجموعة من الثغرات المعروفة في مكونات تابعة لجهات خارجية، مثل Apache Tomcat و Apache HTTP Server.