Hewlett Packard Enterprise(HPE)は今週、同社のOneView ITインフラ管理ソフトウェアに存在する重大度クリティカルのリモートコード実行脆弱性に対するパッチを発表しました。
CVE-2025-37164(CVSSスコア10)として追跡されているこのセキュリティ欠陥は、認証なしで悪用可能であると、同社は簡潔なアドバイザリで述べています。
HPEは、この欠陥が実環境で悪用されていることには言及していませんが、顧客に対し、できるだけ早く修正版リリースへ更新するよう促しています。
HPEによると、この問題はバージョン11.00以前のすべてのOneViewに影響します。バージョン11.00以降に更新することで、この不具合は解消されます。
さらに同社は、OneViewバージョン5.20〜10.20向けのホットフィックスもリリースしましたが、パッチ適用前に6.60.xx系を7.00へ更新することを推奨しています。HPE Synergy Composerの再イメージも更新する必要があります。
HPEは脆弱性の技術的詳細の公開を控えましたが、報告者としてNguyen Quoc Khanh氏に謝意を示しました。
今週、HPEはまた、Telco Service Activatorのサービスプロビジョニングおよびアクティベーション用ソフトウェアプラットフォームで使用されている依存コンポーネントにおける3件の脆弱性に対する修正も展開しました。
CVE-2025-49146、CVE-2025-55163、CVE-2025-7962として追跡されているこれらの問題は、オープンソースのPostgreSQL JDBCドライバーPgJDBC、Nettyネットワークアプリケーションフレームワーク、Jakarta Mailに影響します。
同社によると、これらのバグが悪用されると、認証回避、サービス拒否(DoS)、およびキャリッジリターン・ラインフィード(CRLF)インジェクションにつながる可能性があります。
HPE Telco Service Activatorのバージョン10.3.2までのすべてが影響を受けます。3件のセキュリティ欠陥に対するパッチは、プラットフォームのバージョン10.3.3に含まれています。
これらの脆弱性はいずれも、HPE Telco Service Activatorユーザーを標的とした攻撃で悪用された形跡はないようです。
翻訳元: https://www.securityweek.com/hpe-patches-critical-flaw-in-it-infrastructure-management-software/
