La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha emitido una advertencia sobre una vulnerabilidad de máxima gravedad en HPE OneView que se está explotando activamente.
Identificada como CVE-2025-37164 , se trata de una vulnerabilidad de inyección de código dentro de un punto final de API REST no seguro, señaló la agencia de seguridad, que permite que un usuario remoto no autenticado realice una ejecución remota de código.
HPE OneView es una plataforma centralizada de gestión de infraestructura diseñada para optimizar las operaciones de TI. Se utiliza ampliamente para implementar, supervisar y gestionar el hardware y el software del centro de datos de HPE desde un único panel global.
CVE-2025-37164 fue descubierto por primera vez el año pasado por el investigador de seguridad Nguyen Quoc Khanh, y HPE lanzó revisiones el 16 de diciembre de 2025.
Sin embargo, poco después, los investigadores de Rapid7 lanzaron un exploit de prueba de concepto que sería relativamente fácil de explotar para atacantes menos hábiles y que potencialmente otorgaría control total de los entornos afectados.
“OneView se encuentra en un plano de control privilegiado para la infraestructura empresarial, por lo que una explotación exitosa no se trata solo de establecer la ejecución remota de código, sino de obtener control centralizado sobre servidores, firmware y gestión del ciclo de vida a escala”, explicaron los investigadores de Rapid7.
“Las plataformas de gestión suelen implementarse en lo profundo de la red, con amplios privilegios y una supervisión mínima, porque se supone que son confiables”.
Qué hacer ante la vulnerabilidad de HPE OneView
Conor Agnew, jefe de operaciones de cumplimiento de Closed Door Security, describió la CVE como una “vulnerabilidad muy grave dado el acceso que OneView tiene a los sistemas”.
«Cuando los atacantes explotan esta vulnerabilidad , básicamente les entregan las llaves del reino, donde parecen confiables, pero pueden tener acceso sin filtros a las profundidades de los entornos corporativos para robar datos o ejecutar más ataques», señaló.
CISA recomienda que cuando se detecta un RCE no autenticado, los defensores deben tratarlo como un escenario de violación asumida, aplicar parches de inmediato y revisar las rutas de acceso y la segmentación.
Deberían priorizar la actualización a la versión 11.0 o aplicar las revisiones de emergencia (revisión del dispositivo virtual HPE OneView y revisión de HPE Synergy) lo antes posible, agregó la agencia de seguridad.
Como se temía, la vulnerabilidad ya ha sido explotada y CISA la ha añadido a su lista de vulnerabilidades explotadas conocidas.
A las agencias del Poder Ejecutivo Civil Federal (FCEB) se les han dado tres semanas para proteger sus sistemas.
Cualquier organización que utilice la plataforma debe priorizar las medidas para mitigar la vulnerabilidad. Según HPE, no existen soluciones alternativas ni mitigaciones para la vulnerabilidad, por lo que es necesario actualizar a la última versión de OneView para protegerse contra el CVE (Cultivación de Vulnerabilidades y Emisiones) —afirmó Agnew—.
“Se recomienda a las organizaciones que tomen medidas lo antes posible”.
