Trusted DesignCVE-2025-37164 の詳細
CVEの情報
説明:
A remote code execution issue exists in HPE OneView.
CVE更新日: 2025-12-16 17:16:07.843000
CVSSバージョン: 3.1
CVSSスコア: 10.0
KEVの情報
KEV更新日: 2026-01-07
EPSSの情報
EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。
EPSSスコア: 0.813100000
EPSS更新日: 2026-01-14 00:00:00
SSVCの情報
SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。
Exploitation: active
Technical Impact: high
Automatable: True
CVE‑2025‑37164はHPE OneView(Hewlett Packard Enterprise OneView)に存在する未認証リモートコード実行(RCE)脆弱性です。攻撃者は認証不要・ユーザー操作不要で、ネットワーク経由から任意コード実行が可能になります。 1. 脆弱性の概要 【影響】 ・認証されていないリモート攻撃者が任意コードを実行可能です。 ・OneView の管理権限でコード実行されるため、機密データの読み取り・設定変更・サービス妨害・管理ネットワークへの横展開が可能となります。 よって、OneViewが管理するサーバ・ネットワーク・シャーシ全体に影響が及ぶ可能性があります。 【深刻度】 ・CVSS 3.1(HPE 評価):10.0(Critical) 2. 対象となる環境 【影響を受ける製品】 ・HPE OneView(統合インフラ管理ソフトウェア) 【影響を受けるバージョン】 ・HPE OneView 11.00より前のバージョン CVE Detailsでは10.20.00以下と記載されています。 ※両者に差異があるが、共通して11.0未満が影響とされています。 【影響を受ける設定】 ・OneView がネットワーク経由でアクセス可能な状態 ・特に管理ネットワークが外部から到達可能な設計の場合、リスクが極めて高い 3. 影響を受けた時の兆候 公開情報に具体的な兆候の記載はありませんでした。 HPEのアドバイザリ 4. 推奨対策 【本対策(恒久対策)】 ・HPE OneView 11.00以降へアップグレード HPEは修正済みバージョン11.0をリリース済み 【暫定回避策(緩和策)】 ・HPEは旧バージョン向けに一時的なセキュリティホットフィックスを提供