Otkrivena je značajna sigurnosna ranjivost u HPE OneView for VMware vCenter (OV4VC) platformi, koja bi mogla omogućiti napadačima s ograničenim pristupom da steknu administratorska ovlašćenja. Ova ranjivost, označena kao CVE-2025-37101, pogađa sve verzije softvera prije izdanja 11.7 i ima visoku CVSS ocjenu ozbiljnosti od 8.7, što ukazuje na značajan rizik za korporativna okruženja.
Ovaj propust omogućava ono što stručnjaci za sajber sigurnost nazivaju “vertikalnim eskalacijom privilegija”. To znači da napadač koji posjeduje samo ovlašćenja za čitanje može iskoristiti ranjivost kako bi izvršio administratorske radnje, koje su inače rezervirane za korisnike s povišenim ovlašćenjima. Prema timu za odgovor na sigurnosne probleme kompanije HPE, hakeri koji su već stekli početni pristup sistemu s ograničenim ovlašćenjima mogu iskoristiti ovu ranjivost.
Ranjivost je klasifikovana prema Common Vulnerability Scoring System (CVSS) verziji 3.1 s vektorskim nizom CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H. Ova tehnička oznaka ukazuje na to da se napad može izvesti preko mreže s niskom složenošću, zahtijeva niska ovlašćenja i uključuje interakciju korisnika, dok istovremeno može uzrokovati značajan uticaj na integritet i dostupnost pogođenih sistema. Ranjivost specifično cilja na HPE OneView za VMware vCenter s komponentama Operations Manager i Log Insight, što je posebno zabrinjavajuće za preduzeća koja se oslanjaju na HPE-ova rješenja za upravljanje infrastrukturom.
Mogućnost da operateri izvode administratorske radnje putem eskalacije privilegija predstavlja značajan sigurnosni rizik, potencijalno dopuštajući neautorizirane promjene konfiguracije, pristup podacima ili ometanje rada sistema. Sigurnosni timovi u preduzećima bi trebali biti posebno zabrinuti zbog ove ranjivosti, s obzirom na njezinu CVSS baznu ocjenu od 8.7, koja je svrstava u kategoriju visoke ozbiljnosti.
HPE je objavio sveobuhvatno rješenje za ovaj sigurnosni problem kroz izdanje HPE OneView for VMware vCenter v11.7, koje adresira ranjivost eskalacije privilegija. Organizacije koje trenutno koriste pogođene verzije trebale bi dati prioritet ažuriranju na ovo najnovije izdanje, dostupno putem portala My HPE Software Center. IT administratori bi trebali odmah implementirati zakrpu kako bi spriječili potencijalno iskorištavanje ove ranjivosti u produkcionim okruženjima. Sigurnosni stručnjaci preporučuju da organizacije provjere svoje trenutne implementacije HPE OneView i ubrzaju proces ažuriranja, posebno u okruženjima gdje više korisnika ima različite nivoe pristupa sistemu.
