កំហុស HPE OneView ដែលវាយតម្លៃដោយ CVSS 10.0 អនុញ្ញាតឱ្យមានការប្រតិបត្តិកូដពីចម្ងាយដោយមិនចាំបាច់ផ្ទៀងផ្ទាត់

ក្រុមហ៊ុន Hewlett Packard Enterprise (HPE) បានដោះស្រាយកំហុសសុវត្ថិភាពធ្ងន់ធ្ងរបំផុតនៅក្នុងកម្មវិធី OneView ដែលប្រសិនបើអាចទាញយកបានដោយជោគជ័យ វាអាចបណ្តាលឱ្យមានការប្រតិបត្តិកូដពីចម្ងាយ។

ចំណុចខ្សោយដ៏សំខាន់នេះ ដែលត្រូវបានចាត់តាំងជាឧបករណ៍កំណត់អត្តសញ្ញាណ CVE CVE-2025-37164 មានពិន្ទុ CVSS 10.0។ HPE OneView គឺជាកម្មវិធីគ្រប់គ្រងហេដ្ឋារចនាសម្ព័ន្ធ IT ដែលធ្វើឲ្យប្រតិបត្តិការ IT មានភាពរលូន និងគ្រប់គ្រងប្រព័ន្ធទាំងអស់តាមរយៈចំណុចប្រទាក់ផ្ទាំងគ្រប់គ្រងកណ្តាល។

ក្រុមហ៊ុន HPE បាននិយាយនៅក្នុងសេចក្តីណែនាំមួយដែលចេញផ្សាយក្នុងសប្តាហ៍នេះថា "ចំណុចខ្សោយសុវត្ថិភាពដែលអាចកើតមានត្រូវបានកំណត់អត្តសញ្ញាណនៅក្នុងកម្មវិធី Hewlett Packard Enterprise OneView។ ចំណុចខ្សោយនេះអាចត្រូវបានទាញយក ដែលអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ដែលមិនបានផ្ទៀងផ្ទាត់ពីចម្ងាយអនុវត្តការប្រតិបត្តិកូដពីចម្ងាយ"។

វាប៉ះពាល់ដល់កំណែទាំងអស់នៃកម្មវិធីមុនកំណែ 11.00 ដែលដោះស្រាយចំណុចខ្សោយនេះ។ ក្រុមហ៊ុនក៏បានផ្តល់ជូននូវការជួសជុលបន្ទាន់ដែលអាចអនុវត្តចំពោះ OneView កំណែ 5.20 ដល់ 10.20។

គួរកត់សម្គាល់ថា hotfix ត្រូវតែអនុវត្តឡើងវិញបន្ទាប់ពីធ្វើឱ្យប្រសើរឡើងពីកំណែ 6.60 ឬក្រោយទៅកំណែ 7.00.00 ឬបន្ទាប់ពីប្រតិបត្តិការបង្កើតរូបភាពឡើងវិញរបស់ HPE Synergy Composer។ hotfix ដាច់ដោយឡែកមានសម្រាប់ឧបករណ៍និម្មិត OneView និង Synergy Composer2។

ទោះបីជា HPE មិនបានលើកឡើងពីកំហុសដែលកំពុងត្រូវបានកេងប្រវ័ញ្ចនៅក្នុង wild ក៏ដោយ វាមានសារៈសំខាន់ណាស់ដែលអ្នកប្រើប្រាស់អនុវត្តបំណះឱ្យបានឆាប់តាមដែលអាចធ្វើទៅបានសម្រាប់ការការពារដ៏ល្អប្រសើរ។

នៅដើមខែមិថុនានេះ ក្រុមហ៊ុនក៏បានចេញផ្សាយការអាប់ដេតដើម្បីជួសជុលចំណុចខ្សោយចំនួនប្រាំបីនៅក្នុងដំណោះស្រាយបម្រុងទុកទិន្នន័យ StoreOnce និង deduplication របស់ខ្លួន ដែលអាចបណ្តាលឱ្យមានការរំលងការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ និងការប្រតិបត្តិកូដពីចម្ងាយ។ វាក៏បានបញ្ជូន OneView កំណែ 10.00 ដើម្បីជួសជុលចំណុចខ្សោយមួយចំនួនដែលគេស្គាល់នៅក្នុងសមាសធាតុភាគីទីបី ដូចជា Apache Tomcat និង Apache HTTP Server។