Hewlett Packard Enterprise(HPE)は、攻撃者が任意のコードをリモートで実行できる、同社のHPE OneViewソフトウェアにおける最大深刻度の脆弱性を修正しました。
OneViewは、IT管理者が集中管理インターフェースからサーバー、ストレージ、ネットワーク機器の管理を効率化し、自動化するのに役立つHPEのインフラ管理ソフトウェアです。
この重大なセキュリティ欠陥(CVE-2025-37164)は、ベトナムのセキュリティ研究者Nguyen Quoc Khanh(brocked200)によって同社のセキュリティチームに報告されました。
本脆弱性はv11.00以前のすべてのOneViewバージョンに影響し、未認証の脅威アクターが低い複雑性のコードインジェクション攻撃を通じて悪用し、未パッチのシステムでリモートコード実行を獲得する可能性があります。
「Hewlett Packard Enterprise OneView Softwareにおいて、潜在的なセキュリティ脆弱性が確認されました。この脆弱性は悪用される可能性があり、リモートの未認証ユーザーがリモートコード実行を行える恐れがあります」とHPEは火曜日のアドバイザリで警告しました。
CVE-2025-37164には回避策や緩和策がないため、管理者には可能な限り早急に脆弱なシステムへパッチを適用することが推奨されています。
HPEは、この脆弱性が攻撃で標的にされたかどうかをまだ確認しておらず、影響を受ける組織はHPEのSoftware Centerから入手可能なOneViewバージョン11.00以降にアップグレードすることで修正できるとしています。
OneViewバージョン5.20〜10.20を実行しているデバイスでは、セキュリティホットフィックスを適用することで本脆弱性に対処できます。このホットフィックスは、バージョン6.60以降から7.00.00へアップグレードした後、またはHPE Synergy Composerの再イメージング作業の後に、再適用する必要があります。
仮想アプライアンス向けセキュリティホットフィックスとSynergy向けセキュリティホットフィックスは、専用のサポートページからそれぞれ別途ダウンロードできます。
6月には、HPEはディスクベースのバックアップおよび重複排除ソリューションであるStoreOnceにおいて、重大度クリティカルの認証バイパスと3件のリモートコード実行の欠陥を含む8件の脆弱性を修正しました。
その1か月後の7月には、標準のデバイス認証を回避したうえで攻撃者がWebインターフェースにアクセスできる可能性がある、Aruba Instant Onアクセスポイントのハードコードされた認証情報について警告しました。
HPEは世界で61,000人以上の従業員を擁し、2024年には売上高301億ドルを報告しています。同社の製品とサービスは世界で55,000以上の組織に利用されており、その中にはフォーチュン500企業の90%が含まれます。
