HPE ออกแพตช์อุดช่องโหว่ร้ายแรงบน StoreOnce เสี่ยงถูกแฮกและควบคุมระบบจากระยะไกล
เมื่อเร็วๆ นี้ Hewlett Packard Enterprise หรือ HPE ได้ออกแพตช์อุดช่องโหว่ความรุนแรงระดับวิกฤตในผลิตภัณฑ์ StoreOnce ซึ่งมีความรุนแรงสูงถึงระดับ CVSS 9.8 ซึ่งอาจเปิดทางให้แฮกเกอร์สามารถเข้าถึงระบบโดยไม่ต้องยืนยันตัวตน (authentication bypass) และอาจสั่งรันคำสั่งอันตรายได้จากระยะไกล (remote code execution)
ช่องโหว่นี้ส่งผลกระทบต่อ StoreOnce ทั้งในรูปแบบ Appliance และ Virtual Storage ซึ่งมักใช้งานในดาต้าเซ็นเตอร์ขององค์กร เพื่อสำรองและกู้คืนข้อมูลสำคัญ โดยเฉพาะในภาคธุรกิจขนาดใหญ่ รัฐบาล และองค์กรบริการด้านสุขภาพ ซึ่งมีข้อมูลละเอียดอ่อนจำนวนมาก
ช่องโหว่อื่นที่ถูกแพตช์พร้อมกันประกอบด้วย:
CVE-2025-37089 / 37091 / 37092 / 37096 – ช่องโหว่ที่เปิดทางให้รันโค้ดจากระยะไกล (Remote Code Execution)
CVE-2025-37090 – ช่องโหว่ Server-Side Request Forgery (SSRF)
CVE-2025-37093 – ช่องโหว่ข้ามการยืนยันตัวตน (Authentication Bypass)
CVE-2025-37094 – ลบไฟล์สำคัญโดยอาศัย Directory Traversal
CVE-2025-37095 – เปิดเผยข้อมูลโดยอาศัย Directory Traversal
Google TAG และนักวิจัยด้านความปลอดภัยต่างเตือนว่า หากไม่อัปเดตระบบ องค์กรอาจตกเป็นเหยื่อของการโจมตีแบบ Zero-Day หรือใช้ช่องโหว่นี้เป็นจุดเริ่มต้นเพื่อแทรกซึมเข้าเครือข่ายภายใน
นอกจาก StoreOnce แล้ว HPE ยังได้อัปเดตแพตช์สำหรับช่องโหว่ร้ายแรงบนผลิตภัณฑ์อื่น เช่น Telco Service Orchestrator (CVE-2025-31651) และ HPE OneView (CVE-2024-38475, 38476) ซึ่งมีคะแนน CVSS 9.8 เช่นกัน โดยมีความเกี่ยวข้องกับช่องโหว่ใน Apache Tomcat และ HTTP Server
ที่มา thehackernews