Hewlett Packard Enterprise (HPE)近日发布了一份安全公告,警告其StoreOnce磁盘备份和去重解决方案中存在八个漏洞。其中一个被评为严重级别(CVSS v3.1评分:9.8)的身份验证绕过漏洞,编号为CVE-2025-37093。来源
这些漏洞影响所有版本的HPE StoreOnce软件,建议用户升级至最新版本v4.3.11以确保安全。除了身份验证绕过漏洞外,还包括三个远程代码执行漏洞、两个目录遍历问题以及一个服务器端请求伪造漏洞。
Zero Day Initiative (ZDI)发现了这些漏洞,并指出CVE-2025-37093存在于machineAccountCheck方法的实现中,因认证算法的不当实现而产生。虽然此漏洞是唯一被评为严重的漏洞,但其他漏洞也存在显著风险。
尽管这些漏洞早在2024年10月就被发现并报告给HPE,但直到七个月后才有修复方案提供给客户。目前尚无漏洞被主动利用的报告。StoreOnce通常用于大型企业、数据中心、云服务提供商等处理大数据或大型虚拟化环境的备份和恢复。来源