Hewlett Packard Enterprise(HPE)は、HPE AlletraおよびNimble Storageアレイに影響する高深刻度の脆弱性に関するセキュリティ情報を公開しました。
この欠陥は CVE-2026-23594 として追跡されており、低レベルのアクセス を持つリモート攻撃者が、影響を受けるシステム上で完全な管理者権限を取得できる可能性があります。
この問題は、 2026年1月20日 に公開され、 2026年1月21日 に最終更新されたセキュリティ情報「Security Bulletin HPESBST04995 rev.1」に記載されています。
HPEは影響を 「Remote: Increased Privilege(リモート:権限増大)」 に分類しており、これは攻撃者がデバイスに接続できた時点で権限を昇格できることを意味します。
この脆弱性は、HPE Alletra 6000、HPE Alletra 5000、およびHPE Nimble Storage Array OSの特定の構成に存在します。
HPEによると、低い権限を持つリモート攻撃者がこの欠陥を悪用して、管理者アクセスを含むより高い権限へ昇格できる可能性があります。
HPEはこのバグを、以下のベクターを用いた CVSS v3.1基本スコア8.8(高) と評価しています:
実際には、攻撃者がネットワーク経由で基本的な認証済みアクセスを得た場合、ストレージシステムを完全に侵害できる可能性があることを意味します。
HPEは、この欠陥に対処するために以下の更新をリリースしました:
HPEの顧客は、これらの修正の適用支援や新たな問題の報告について、HPEサポートまたは HPE Product Security Response Team に連絡できます。