Hewlett Packard Enterprise (HPE) ha lanzado una advertencia de seguridad urgente hoy jueves. La compañía ha resuelto una vulnerabilidad de severidad máxima en su software HPE OneView, la plataforma que muchas organizaciones utilizan como el “cerebro” centralizado para gestionar servidores, almacenamiento y redes.
El fallo, identificado como CVE-2025-37164, ha recibido una puntuación de gravedad de 10.0 sobre 10 en la escala CVSS.
¿Qué permite este fallo?
Estamos ante el peor escenario posible: Ejecución Remota de Código (RCE) sin autenticación.
Un atacante remoto no necesita tener credenciales (usuario/contraseña) ni interacción del usuario para explotarlo. Simplemente enviando comandos maliciosos a la interfaz de OneView, puede tomar el control administrativo del sistema que gestiona todo el hardware de tu centro de datos.
Versiones Afectadas
El problema es generalizado. Afecta a todas las versiones de HPE OneView anteriores a la 11.00.
HPE ha confirmado que el fallo fue reportado por el investigador Nguyen Quoc Khanh y, hasta el momento, no hay evidencia pública de explotación en la naturaleza (“in the wild”), pero dada la facilidad de ataque que sugiere un CVSS 10, es cuestión de horas o días para que aparezcan los exploits.
Las “Llaves del Reino”
HPE OneView no es un servidor cualquiera; es la herramienta de gestión de infraestructura. Si un hacker controla OneView, no solo tiene acceso a un sistema operativo, sino que puede:
- Manipular el Hardware: Apagar servidores físicos en producción, alterar perfiles de BIOS o desconectar almacenamiento.
- Ataque a la cadena de suministro interna: Desplegar imágenes de servidor infectadas a nuevas máquinas virtuales o físicas que se aprovisionen desde la plataforma.
La rareza del 10.0
En ciberseguridad, rara vez vemos un “10 perfecto”. Esto indica que la barrera de entrada para el atacante es nula (no necesita contraseña) y el impacto es total (Confidencialidad, Integridad y Disponibilidad comprometidas al máximo). No hay “peros” ni condiciones especiales; si el puerto está abierto, eres vulnerable.
Detalle Técnico de Actualización
HPE ha sido minucioso con la solución:
- Solución Principal: Actualizar a HPE OneView v11.00 o superior.
- Opción Legacy: Si no puedes subir a la v11, han lanzado hotfixes para versiones desde la 5.20 hasta la 10.20.
- Ojo al dato: Si estás en la versión 6.60 y actualizas a la 7.00, debes volver a aplicar el hotfix después de la actualización. No asumas que el parche persiste tras un upgrade mayor.
Ficha Técnica de la Amenaza
| Dato | Detalle |
| CVE ID | CVE-2025-37164 |
| Severidad | Crítica (10.0 / 10) |
| Vector de Ataque | Red (Remoto) / Sin Autenticación |
| Software Afectado | HPE OneView (Versiones < 11.00) |
| Acción Requerida | Actualizar a v11.00 o aplicar Hotfix |
