Hewlett Packard Enterprise OneViewソフトウェアで深刻なセキュリティ脆弱性が発見され、データセンターおよびハイブリッドクラウド環境全体のエンタープライズインフラが脅威にさらされています。
この欠陥はCVE-2025-37164として追跡されており、CVSS 3.1の深刻度スコアは最大の10.0で、即時の対処が必要な重大リスクを示しています。
この脆弱性により、認証されていないリモート攻撃者が、ユーザーの操作や昇格した権限を必要とせずに、影響を受けるシステム上で任意のコードを実行できます。
このネットワークベースの攻撃ベクトルは、HPE OneViewの集中管理プラットフォームを通じてエンタープライズサーバー環境を管理している組織にとって重大なリスクとなります。
影響を受けるバージョンと範囲
11.00より前のHPE OneViewバージョンは脆弱なままであり、インフラのオーケストレーションにこのプラットフォームを利用している数千の企業に影響する可能性があります。
この脆弱性は、仮想アプライアンスから物理インフラ環境まで、影響を受けるバージョンのすべての導入形態に影響します。
リモート攻撃者はこの脆弱性を悪用して、機密データの読み取り、構成の変更、サービスの妨害を含む、システムの完全な制御を獲得する可能性があります。
認証要件がないことにより悪用リスクは大幅に高まり、攻撃者は影響を受けるシステムへのネットワーク接続さえあれば攻撃を実行できます。
HPEは恒久的な修正としてOneViewのバージョン11.00をリリースしました。旧バージョンを使用している組織は、HPEのライセンスポータルから入手できる一時的なセキュリティホットフィックスを適用できます。
OneViewのバージョン5.20から10.20はセキュリティホットフィックスを適用できますが、バージョン6.60以降からアップグレードするユーザーは、システム更新後にパッチを再適用する必要があります。
HPE Synergy Composerのユーザーは、同社のサポートポータルから専用のセキュリティホットフィックスをダウンロードする必要があります。本番環境に更新を展開する前に、HPEのパッチ管理ポリシーを確認することが推奨されます。
HPEは、この脆弱性を責任をもって報告したセキュリティ研究者brocked200(Nguyen Quoc Khanh)に謝意を示しました。
翻訳元: https://gbhackers.com/hpe-oneview-vulnerability/
