HPE Telco Service Activator Vulnerability Allows Attackers to Bypass Access Controls
2026/02/23 gbhackers — Hewlett Packard Enterprise (HPE) が発行したのは、Telco Service Activator 製品に存在する深刻な脆弱性に関するセキュリティ速報である。この脆弱性 CVE-2025-12543 (CVSS:9.6:Critical) は、リモート・アクセスに対する制限回避を可能にするものであり、バージョン 10.5.0 未満に影響を及ぼす。
この問題は、不適切な入力検証に起因し、HTTP リクエスト処理の操作を攻撃者に許すものである。その結果として、未承認アクセス/機密データ露出/部分的なシステム侵害が引き起こされる可能性がある。
HPE Product Security Response Team によると、受信 HTTP リクエストの Host ヘッダを適切に検証しない問題が、Undertow HTTP サーバ・コアに存在するという。
脆弱性 CVE-2025-12543 は、通信事業者が複雑なネットワーク環境でサービス・プロビジョニング自動化に使用する、HPE Telco Service Activator デプロイメント環境に影響する。
| CVE ID | CVSS Score | Description | Affected Versions | Patched Version |
|---|---|---|---|---|
| CVE-2025-12543 | 9.6 (Critical) | Improper Host Header Validation in Undertow HTTP Core, leading to access restriction bypass | HPE Telco Service Activator < 10.5.0 | 10.5.0 |
HPE Telco Service Activator の脆弱性
このプラットフォームは、サービス・ワークフロー管理の中核を担うものであるため、悪用時における運用およびセキュリティへの影響は重大である。
HPE は、この脆弱性について、”リモート・アクセス制限回避” と説明している。悪意の HTTP リクエストを作成する未認証の攻撃者により、サーバ側のアクセス制御の回避が可能になる。この攻撃では、事前認証や高度な特権が必要とされないため、パブリックな環境で特に危険である。
攻撃ベクターは Network (AV:N)、 攻撃複雑度は Low (AC:L)、必要権限は None (PR:N) である。その一方で、ユーザー・インタラクションは Required (UI:R) である。すなわち、細工されたリソースへの、被害者によるアクセスまたは操作が必要になる。機密性および完全性への影響は High (C:H/I:H) であるため、データの露出または改竄の懸念が生じる。
すでに HPE は、Telco Service Activator バージョン 10.5.0 をリリースし、CVE-2025-12543 に対処している。
旧バージョンのユーザーは、直ちにアップグレードすべきである。HPE は、標準パッチ管理ポリシーに従い、サードパーティ・セキュリティ更新も適用すべきであると強調している。管理者にとって必要なことは、HPE Telco Service Activator のネットワーク露出状況の確認と、管理インターフェイスへのアクセス制限である。
通信事業者のネットワーク自動化を支える中核システム HPE Telco Service Activatorに、未認証のリモート攻撃者によるアクセス制限回避を許す、深刻な脆弱性 CVE-2025-12543 が発見されました。この脆弱性の本質は、システム内部で使用されている Undertow HTTPサーバが、リクエストに含まれる “Hostヘッダ” を適切に検証しないことにあります。Hostヘッダは、ブラウザがアクセスしている Web サイトをサーバに伝える情報ですが、この値を攻撃者が操作することで、管理画面や機密データ領域へのすり抜けが可能になります。ご利用のチームは、ご注意ください。よろしければ、HPE での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.