Vulnerabilidades críticas afetam software de gestão IT e plataforma Telco

A HPE anunciou a disponibilização de correções para uma vulnerabilidade crítica de execução remota de código no seu software de gestão de infraestruturas IT, HPE OneView.

Identificada como CVE-2025-37164 com uma pontuação CVSS de 10, a falha pode ser explorada sem necessidade de autenticação, conforme comunicado pela empresa. A HPE recomenda que os clientes atualizem para a versão corrigida o mais rapidamente possível.

A vulnerabilidade afeta todas as versões do OneView até à 10.20. Foram lançados hotfixes e a HPE aconselha os utilizadores das versões 6.60.xx a atualizar para a versão 7.00 antes da aplicação da correção. Também os dispositivos HPE Synergy Composer devem ser reimaginados conforme as atualizações indicadas.

Paralelamente, a HPE corrigiu três vulnerabilidades afetando componentes da plataforma de provisionamento e ativação de serviços Telco Service Activator. As falhas, identificadas como CVE-2025-49146, CVE-2025-55163 e CVE-2025-7962, impactam o driver PostgreSQL JDBC PgJDBC, o framework de aplicações de rede Netty e o Jakarta Mail.

Segundo a HPE, a exploração destas vulnerabilidades pode conduzir a bypass de autenticação, ataques de negação de serviço (DoS) e injeção Carriage Return Line Feed (CRLF). Todas as versões do Telco Service Activator até à 10.3.2 são afetadas, sendo as correções integradas na versão 10.3.3 da plataforma.

Até ao momento, não existe indicação de que as vulnerabilidades no HPE OneView ou no Telco Service Activator tenham sido exploradas em ambiente real.

A HPE não divulgou detalhes técnicos adicionais sobre as falhas, referindo apenas que o investigador Nguyen Quoc Khanh reportou a vulnerabilidade no OneView.