HPE OneViewに重大な脆弱性、リモートコード実行の恐れ
Hewlett Packard Enterprise(HPE)の統合インフラ管理ソフトウェア「HPE OneView」において、深刻なセキュリティ脆弱性が発見されました。この脆弱性により、データセンターおよびハイブリッドクラウド環境を利用する企業のインフラが危険にさらされる可能性があります。
脆弱性の詳細:CVE-2025-37164
この脆弱性(CVE-2025-37164)は、CVSS 3.1の評価で最高の10.0という極めて高い深刻度が付けられています。このスコアは、直ちに対処が必要なクリティカルなリスクを示しています。
この脆弱性を悪用することで、認証されていないリモートの攻撃者が、ユーザーの操作や昇格された権限を必要とせずに、影響を受けるシステム上で任意のコードを実行(RCE)することが可能になります。ネットワーク経由での攻撃が可能であるため、HPE OneViewの集中管理プラットフォームを通じてエンタープライズサーバー環境を管理している組織にとって、極めて重大なリスクとなります。
影響を受けるバージョンと範囲
この脆弱性の影響を受けるのは、HPE OneViewバージョン11.00より前のバージョンです。仮想アプライアンスから物理インフラ環境まで、影響を受けるバージョンのすべてのデプロイメントモデルが対象となります。
攻撃者はこの脆弱性を悪用して、機密データの読み取り、設定の変更、サービスの妨害など、システムを完全に制御する可能性があります。認証要件がないため、攻撃者は影響を受けるシステムへのネットワーク接続さえあれば攻撃を実行でき、悪用リスクが劇的に高まります。
対策と推奨事項:直ちに対応を
HPEは、この脆弱性に対する恒久的な修正として、OneViewバージョン11.00をリリースしました。古いバージョンを使用している組織は、HPEのライセンスポータルから入手可能な一時的なセキュリティホットフィックスを適用することができます。
- OneViewバージョン5.20から10.20のユーザーは、セキュリティホットフィックスをデプロイ可能です。
- バージョン6.60以降からアップグレードするユーザーは、システムアップデート後にパッチを再適用する必要があります。
- HPE Synergy Composerユーザーは、専用のセキュリティホットフィックスをHPEのサポートポータルからダウンロードしてください。
本番環境にアップデートを適用する前に、HPEのパッチ管理ポリシーを参照することが推奨されます。
謝辞
HPEは、この脆弱性を責任を持って報告したセキュリティ研究者のbrocked200(Nguyen Quoc Khanh)氏に謝意を表明しています。