HPE OneView Software Vulnerability Let Attackers Execute Remote Code
2025/12/18 CyberSecurityNews —
HPE が公表した重大なセキュリティ・アラートには、HPE OneView ソフトウェアに存在する深刻なリモートコード実行の脆弱性に関する情報が記されている。この脆弱性 CVE-2025-37164 (CVSS:10.0) を悪用するリモートの攻撃者は、認証を必要とせずに、任意のコードを実行できる。この脆弱性が影響を及ぼす範囲は、HPE OneView ソフトウェアの v11.00 未満の、すべてのサポート対象バージョンである。
HPE OneView の脆弱性とリモートコード実行
この脆弱性を悪用する脅威アクターは、ユーザー操作や特別なアクセス権限を必要としないため、ネットワーク経由による容易な攻撃が可能となる。この脆弱性により、影響を受けるシステムの機密性/整合性/可用性に問題が生じる。
| Attribute | Details |
|---|---|
| CVE ID | CVE-2025-37164 |
| Product | HPE OneView Software |
| Vulnerability Type | Remote Code Execution |
| CVSS Score | 10.0 (Critical) |
| CVSS Vector | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
| Attack Vector | Network |
HPE のセキュリティ情報 HPESBGN04985 には、この脆弱性は 2025年12月16日に、セキュリティ研究者 brocked200 (Nguyen Quoc Khanh) により責任ある形で開示されたと記されている。
以下の CVSS ベクター文字列が示すのは、この脆弱性が認証やユーザー操作を必要とせずに、ネットワーク経由で悪用できることだ。また、攻撃の複雑さが低いため、脅威アクターは高い確率でエクスプロイトを実行できる。
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
HPE が影響を受けるユーザーに推奨するのは、速やかな対応である。主な解決策は、My HPE Software Center ポータルを参照し、HPE OneView v11.00 以降へとアップグレードすることだ。
なお、OneView バージョン 5.20~10.20 を実行している組織は、HPE のサポート・チャネルから専用のセキュリティ・ホットフィックスを入手して適用できる。HPE OneView 6.60.xx から 7.00.00 へとアップグレードしたユーザーは、HPE Synergy Composer の再イメージ化 (初期化) 操作を含め、セキュリティ・ホットフィックスを再適用する必要がある。
HPE OneView のセキュリティ管理者は、深刻度の高さと攻撃の容易さを踏まえ、これらのシステムへのパッチ適用を優先すべきである。
HPE が推奨するのは、システム管理およびセキュリティ手順を定期的に見直し、システムの整合性を維持することだ。
迅速なパッチ適用が不可能な組織は、ネットワーク・セグメンテーションを実装して HPE OneView システムへのアクセスを制限し、不審なアクティビティを監視する必要がある。
技術的な実装に関する質問については、HPE サービスサポート・チャネルへの問い合わせが可能である。
この問題の原因は、HPE OneView が外部から受け取る通信内容を、十分に検証せずに処理してしまう設計にあります。認証や利用者の操作を前提としない攻撃経路が存在していることで、脅威アクターがネットワーク経由で容易に到達できる状態になっています。その結果として、内部管理向けであるはずの機能が、攻撃者が悪用できる入口になってしまいます。機能の利便性や管理性を重視した実装が、入力検証や境界の考慮不足と重なり、深刻な影響につながったと理解できます。ご利用のチームは、ご注意ください。よろしければ、HPE OneView での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.