HPE基础架构管理软件OneView存在一个可由远程未经身份验证的攻击者利用的远程代码执行漏洞，CVE-2025-37164，CVSS 3.1评分为10.0。受影响版本包括所有低于v11.00的HPE OneView版本。HPE已发布适用于v5.20至v10.20的安全热补丁，并建议用户升级至已修复的v11.00或更高版本。

官方提醒，若设备从OneView v6.60.xx升级到v7.00.00，或在HPE Synergy Composer上执行镜像重建或恢复操作，需重新应用热补丁。由于OneView虚拟设备与Synergy Composer使用独立的热补丁包，需分别下载和安装。HPE官方公告未披露漏洞的具体技术细节，也未提及该漏洞是否已被实际利用，目前暂无其他外部缓解措施。

安全公司Rapid7在初步分析热补丁内容时指出，修复措施之一是在OneView的Web服务器层新增HTTP规则，用于阻止对特定REST API端点的未授权访问。Rapid7推测，该REST API端点在未登录状态下仍可被调用，可能是漏洞被利用的入口。