2025年7月21日Ravie Lakshmananネットワークセキュリティ / 脆弱性
ヒューレット・パッカード・エンタープライズ(HPE)は、Instant On アクセスポイントに影響を与える重大なセキュリティ脆弱性に対処するためのセキュリティアップデートを公開しました。この脆弱性により、攻撃者が認証を回避し、影響を受けるシステムに管理者権限でアクセスできる可能性があります。
この脆弱性はCVE-2025-37103として追跡されており、CVSSスコアは10.0中9.8です。
「HPE Networking Instant On アクセスポイントでハードコードされたログイン認証情報が発見されており、それを知っている者であれば通常のデバイス認証を回避できます」と同社はアドバイザリで述べています。
「この脆弱性を悪用されると、リモートの攻撃者がシステムに管理者権限でアクセスできる可能性があります。」
また、HPEはHPE Networking Instant On アクセスポイントのコマンドラインインターフェースにおける認証済みコマンドインジェクションの脆弱性(CVE-2025-37102、CVSSスコア: 7.2)にも対応しました。この脆弱性は、リモートの攻撃者が権限を昇格させ、基盤となるオペレーティングシステム上で特権ユーザーとして任意のコマンドを実行できる可能性があります。
これはまた、攻撃者がCVE-2025-37103とCVE-2025-37102を組み合わせてエクスプロイトチェーンを構築し、管理者権限を取得した上で、さらなる活動のためにコマンドラインインターフェースに悪意のあるコマンドを注入できることを意味します。
同社は、これら2つの問題の発見と報告について、Ubisectech Sirius TeamのZZ氏に謝意を表しています。両方の脆弱性は、HPE Networking Instant On ソフトウェア バージョン3.2.1.0以降で修正されています。
また、HPEはアドバイザリの中で、HPE Networking Instant On スイッチなどの他のデバイスは影響を受けないことも明記しています。
現時点でこれらの脆弱性が実際に悪用された証拠はありませんが、潜在的な脅威を軽減するため、できるだけ早くアップデートを適用することが推奨されています。
翻訳元: https://thehackernews.com/2025/07/hard-coded-credentials-found-in-hpe.html