Threats
A CISA alertou para a exploração ativa de uma vulnerabilidade crítica no HPE OneView que permite execução remota de código sem autenticação e já integra o catálogo KEV
08/01/2026
|
A CISA alertou para a exploração ativa de uma vulnerabilidade crítica no HPE OneView, produto de gestão de infraestruturas da Hewlett Packard Enterprise, que permite a execução remota de código por utilizadores não autenticados. Identificada como CVE-2025-37164, a vulnerabilidade tem uma classificação máxima de gravidade, com um CVSS de 10 em 10. A HPE disponibilizou hotfixes a 17 de dezembro de 2025, data em que o problema foi divulgado. De acordo com a HPE, a falha pode ser explorada remotamente sem necessidade de autenticação, permitindo a execução arbitrária de código. A empresa creditou Nguyen Quoc Khanh pela descoberta, mas não divulgou detalhes técnicos adicionais sobre a origem do problema. A empresa de cibersegurança Rapid7 indica que a vulnerabilidade deverá afetar um endpoint específico de uma API REST acessível sem autenticação, o que aumenta a superfície de ataque em ambientes expostos. A inclusão da CVE-2025-37164 no catálogo Known Exploited Vulnerabilities (KEV) da CISA confirma que a falha já está a ser explorada em ataques reais. No entanto, a agência não partilhou informação sobre a natureza ou os alvos das campanhas observadas. No mesmo aviso, a CISA recorda que o HPE OneView contém uma vulnerabilidade de injeção de código que permite execução remota de código por utilizadores não autenticados, reforçando a necessidade de aplicação imediata das correções disponibilizadas pelo fabricante. A agência acrescentou ainda ao catálogo KEV uma vulnerabilidade antiga do Microsoft Office, identificada como CVE-2009-0556, explorada em campanhas de espionagem contra a minoria uigur na China há mais de uma década. Ao abrigo da Binding Operational Directive 22-01, as agências federais dos Estados Unidos têm três semanas para identificar instâncias vulneráveis do HPE OneView e do Microsoft Office e aplicar as devidas correções. Embora esta diretiva se aplique apenas ao setor público norte-americano, a CISA recomenda que todas as organizações consultem regularmente o catálogo KEV e procedam à mitigação das vulnerabilidades listadas. |
Receba todas as novidades na sua caixa de correio!
THREATS
CNCS alerta para falhas de elevada criticidade
NEWS
EUA abandonam fórum global de cibersegurança e ameaças híbridas
ANALYSIS
IA, geopolítica e fraude marcam cibersegurança em 2026
THREATS
Ciberataque à Endesa expõe informação sensível, mas “não afeta clientes em Portugal”
NEWS
Patch Tuesday da Microsoft corrige zero-day ativo
THREATS
Ataque CrashFix explora extensão maliciosa no Chrome
THREATS
Microsoft corrige alerta de segurança que sinalizava componente do Windows como vulnerável
THREATS
Falha em firewalls permite ataques de negação de serviço
THREATS
Google e Mozilla corrigem falhas críticas que permitiam execução remota de código
THREATS
Falhas críticas que levam a execução remota de código corrigidas em produtos de segurança
