文章总结： HPEOneView存在未经身份验证RCE漏洞CVE-2025-37164，CVSS10.0。该漏洞通过隐藏ID池API绕过认证直接执行命令，主要影响旧版本。攻击者可轻易获取高权限。建议立即升级至v11.00或应用热修复程序。 综合评分： 91 文章分类： 漏洞POC,漏洞分析,漏洞预警

PoC 可用：未经身份验证的 HPE OneView RCE（CVSS 10.0）利用隐藏 ID 池 API

sec随谈

sec随谈

2025年12月22日 09:11 北京

安全研究人员详细描述了惠普企业 (HPE) OneView软件中的一个最高级别漏洞，揭示了一个看似不起眼的功能如何允许未经身份验证的攻击者控制关键基础设施管理系统。

该漏洞编号为 CVE-2025-37164，允许远程代码执行 (RCE)，并影响 OneView v11.00 之前的版本。虽然 HPE 发布了广泛的安全公告，但一项新的技术分析揭示了该漏洞的具体机制，以及为什么某些版本比其他版本更容易受到攻击。

研究员 Nguyen Quoc Khanh (brocked200) 发现的缺陷在于OneView 处理“ID 池”功能的方式。

通过分析 HPE 发布的补丁程序，研究人员注意到 HTTP 配置文件中存在一项特定更改：一条规则阻止了对REST端点 /rest/id-pools/executeCommand 的访问。深入研究设备代码后，他们发现该 API 端点配置了 auth-type=”NO_AUTH”，从而显式绕过了身份验证检查。

该端点的底层代码出奇地简单。它接收一个包含命令字符串 (cmd) 的 JSON 有效负载，并将其直接传递给 Runtime.exec，这是一个执行系统命令的 Java 函数。

分析指出： “这种方法正如其名称所示；调用 Runtime.exec 方法来执行提供的命令字符串。 ”

有趣的是，并非所有版本的漏洞利用路径都一目了然。当研究人员最初尝试利用标准的 OneView 虚拟机安装时，尽管安全公告指出存在广泛漏洞，但服务器却返回了 404 Not Found 错误。

调查显示，存在漏洞的“ID池”功能并未普遍启用。

• HPE OneView for VMs：该功能似乎仅存在于旧版 6.x 分支中。
• HPE OneView for Synergy：文档表明该功能在所有版本中均存在。

研究人员总结道：“我们怀疑只有‘HPE OneView for VMs’ 6.x 版本存在漏洞……而所有未打补丁的‘HPE OneView for HPE Synergy’版本都存在漏洞。”

在启用该功能的易受攻击系统中，其影响是灾难性的。研究人员通过发送一个简单的恶意 PUT 请求，成功打开了一个反向 shell。

攻击者以 trm3 用户身份获得访问权限。关键在于，系统的安全配置使得该用户不受 SELinux 策略的限制，从而赋予攻击者在设备内部极大的操作自由。针对 CVE-2025-37164 的 Metasploit 模块可 在此处获取。

HPE 已发布OneView v11.00 以修复此漏洞。对于无法立即升级的管理员，HPE 提供了 5.20 至 10.20 版本的热修复程序。鉴于此次攻击的“低复杂度”以及漏洞利用详情的公开，我们强烈建议各组织立即应用这些更新。

参考链接：

https://attackerkb.com/topics/ixWdbDvjwX/cve-2025-37164/rapid7-analysis

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec随谈 sec随谈《PoC 可用：未经身份验证的 HPE OneView RCE（CVSS 10.0）利用隐藏 ID 池 API》