La Agencia de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) añadió una falla de ejecución remota de código en HPE OneView a su catálogo de vulnerabilidades explotadas, instando a organizaciones a parchear antes de que los atacantes comprometan sistemas de infraestructura crítica.
La Agencia de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) de los Estados Unidos advirtió recientemente sobre una vulnerabilidad crítica y explotada activamente en el software de gestión de infraestructura HPE OneView, en un movimiento que eleva la urgencia de aplicar parches para mitigar posibles compromisos en redes empresariales y gubernamentales.
La falla, identificada como CVE-2025-37164, fue reportada al fabricante por el investigador vietnamita Nguyen Quoc Khanh y afectaba a todas las versiones de HPE OneView anteriores a la 11.00. Hewlett Packard Enterprise (HPE) lanzó correcciones en diciembre de 2025, instando a los clientes a actualizar a la versión 11.00 o superior porque no existen soluciones alternativas ni mitigaciones eficaces para esta falla.
HPE OneView es una herramienta ampliamente utilizada para gestionar de forma centralizada servidores, dispositivos de almacenamiento y redes -funciones críticas en infraestructuras corporativas y de centros de datos- lo que hace que esta vulnerabilidad represente un riesgo serio si no se abordan las correcciones de seguridad.
De acuerdo con CISA, la falla permite a un actor no autenticado ejecutar código arbitrario de forma remota en sistemas sin parches. Este tipo de “remote code execution” (RCE) es considerado uno de los vectores de ataque más peligrosos, ya que puede permitir a un atacante tomar el control total de un dispositivo o sistema afectado sin requerir credenciales previas.
En su aviso, CISA añadió la vulnerabilidad al catálogo de CVE explotados (Known Exploited Vulnerabilities – KEV), una lista que reúne fallas que ya están siendo utilizadas por atacantes para comprometer sistemas. La inclusión en este catálogo obliga a las agencias federales civiles de los Estados Unidos a remediar la falla antes del 28 de enero de 2026, pero CISA recomendó enfáticamente a todas las del sector privado, que actualicen sus instalaciones de OneView lo antes posible.
Expertos en seguridad consultados por diferentes medios especializados de ciberseguridad, coincidieron en señalar que la publicación de un código de prueba de concepto (PoC) para esta vulnerabilidad a fines de diciembre aumentó el riesgo para quienes aún no han aplicado correcciones, ya que los atacantes pueden usarlo como base para desarrollar exploits completos.