Hewlett Packard Enterprise (HPE) は最近、リモート攻撃者がログインチェックを完全にスキップできる AutoPass License Server (APLS) の深刻な欠陥を開示しました。
CVE-2026-23600として追跡されているこの認証バイパス脆弱性により、認証されていないユーザーが有効な認証情報なしにネットワーク経由で保護された機能にアクセスできます。
攻撃者に必要なのはネットワークアクセスだけであり、簡単な悪用が可能です。Trend Microの Zero Day Initiative を経由した匿名の研究者が、この欠陥を責任を持って HPE に報告しました。
根本的な問題は APLS の認証ロジックにあり、攻撃者が適切な検証なく機密関数に到達することを可能にしています。
HPE は CVSS v3.1 スケールで 10 中 7.3 のスコア (高い重大度) を付けています。
ベクトル CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L は、低い複雑さでリモートから悪用でき、特権またはユーザーインタラクションが不要であることを示しています。
これにより、低レベルの機密性、整合性、可用性への影響が生じ、ライセンスデータが露出または追加の攻撃が可能になる可能性があります。
NVD エントリ: CVE-2026-23600。HPE 公報: HPSBGN05003。
サードパーティのレポートはバイパスがリモートで機能することを確認し、即座のアップグレードを促しています。公開エクスプロイトはまだありませんが、攻撃の容易さは露出されたサーバーのリスクを高めます。
APLS 9.19 以降にすぐにアップグレードしてください。これは HPE の最優先の修正です。ポリシーに従ってホストディフェンスを強化するために サードパーティの OS パッチを適用してください。
ディフェンダーは APLS を重要インフラとして扱うべきです:
HPE は、特に APLS が信頼できないネットワークに面している場合は、露出を減らすことを強調しています。不正アクセスを避けるために今すぐアクセスを確認してください。
この欠陥はライセンスサーバーが攻撃者にとって高い価値があることを示しています。リモートバイパスが可能なため、迅速なパッチ適用は実際の悪用を防ぎます。警戒を続け、今日あなたの APLS セットアップを確認してください。
翻訳元: https://cyberpress.org/hpe-autopass-vulnerability/