HPE Rilis Patch untuk Celah RCE Kritis di OneView

Hewlett Packard Enterprise (HPE) mengumumkan adanya kerentanan dengan tingkat keparahan maksimum pada perangkat lunak manajemen infrastruktur HPE OneView. Celah ini memungkinkan penyerang mengeksekusi kode berbahaya dari jarak jauh tanpa autentikasi, sehingga berpotensi mengancam sistem yang belum diperbarui.

Kerentanan CVE-2025-37164

Kerentanan dengan kode CVE-2025-37164 pertama kali dilaporkan oleh peneliti keamanan asal Vietnam, Nguyen Quoc Khanh. Celah ini memengaruhi seluruh versi OneView sebelum v11.00 dan dapat dieksploitasi melalui serangan injeksi kode dengan kompleksitas rendah. HPE menegaskan bahwa tidak ada solusi sementara atau mitigasi lain, sehingga pembaruan menjadi langkah wajib bagi administrator sistem.

Dampak dan Rekomendasi

• Sistem yang masih menggunakan versi lama OneView sangat rentan terhadap serangan RCE.
• HPE menyarankan organisasi segera melakukan upgrade ke OneView v11.00 atau lebih baru melalui Software Center.
• Untuk perangkat dengan versi 5.20 hingga 10.20, HPE menyediakan security hotfix khusus. Hotfix ini perlu dipasang ulang setelah proses upgrade tertentu, termasuk migrasi ke versi 7.00.00 atau setelah reimaging HPE Synergy Composer.
• Paket hotfix tersedia terpisah untuk virtual appliance dan HPE Synergy, yang dapat diunduh melalui halaman dukungan resmi.

Riwayat Keamanan Produk HPE

Kerentanan terbaru ini menambah daftar panjang isu keamanan yang pernah dihadapi HPE:

• Juni 2025: HPE menambal delapan kerentanan pada StoreOnce, termasuk bypass autentikasi kritis dan tiga celah RCE.
• Juli 2025: HPE memperingatkan adanya kredensial hardcoded pada Aruba Instant On Access Points, yang berpotensi memberi akses ilegal ke antarmuka web perangkat.

Profil Perusahaan

HPE memiliki lebih dari 61.000 karyawan di seluruh dunia dengan pendapatan mencapai USD 30,1 miliar pada 2024. Produk dan layanan perusahaan digunakan oleh lebih dari 55.000 organisasi global, termasuk 90% perusahaan dalam daftar Fortune 500.