CISAがHPE OneViewの脆弱性をKEVに追加(CVE-2025-37164)

米国政府機関であるCISA（米国サイバーセキュリティ・社会基盤安全保障庁）は、Hewlett Packard Enterprise（HPE）が提供するサーバー管理ソフトウェア「HPE OneView」に存在する重大な脆弱性(CVE-2025-37164)について、実際に悪用が確認されているとして緊急の注意喚起を行いました。

脆弱性の概要：認証なしでシステムを完全掌握される恐れ

CVE-2025-37164は、HPE OneViewに実装されている「ID Pools」機能に関連するREST APIにおいて、認証が適切に行われていない設計不備が原因とされています。このAPIエンドポイントに対し、外部から細工したリクエストを送信することで、ログインやパスワード入力なしにシステム内部で任意のコードを実行できる可能性があります。

この問題は、ベトナムのセキュリティ研究者Nguyen Quoc Khanh氏によって発見され、HPEへ報告されました。その後、Rapid7の調査により、脆弱性の詳細と影響範囲が明らかになっています。

回避策は存在せず、唯一の対策はアップデート

HPEは公式リリースの中で、本脆弱性に対する設定変更や一時的な回避策は存在しないと明言しています。唯一の有効な対策は、修正済みバージョンへの更新です。

HPEは2025年12月16日にセキュリティホットフィックスを公開しており、HPE OneView 11.00以降へのアップデートを強く推奨しています。

アップデートは、OneViewの管理画面から以下の手順で適用できます。

• 「Settings」→「Update appliance」

• 更新イメージを選択して適用

影響範囲

HPEの公式情報によると、この脆弱性は HPE OneView バージョン5.20～10.20 に影響します。特に、以下の環境ではリスクが高いと指摘されています。

• HPE OneView for HPE Synergy（未修正の全バージョン）

• 仮想アプライアンスとして利用されている OneView 6.x系

OneViewはサーバー、ストレージ、ネットワークを一元管理する中核的な管理基盤であるため、侵害された場合、単一のシステムに留まらず、データセンター全体の制御権を奪われる可能性があります。

CISAがKEVカタログに追加、1月28日までの対応を要求

CISAは本脆弱性を「Known Exploited Vulnerabilities（KEV）」カタログに追加しました。これは、実際に攻撃で利用されていることが確認された脆弱性に対して行われる措置で、連邦政府機関には厳格な対応期限が課されます。

本件では、2026年1月28日までに修正を完了することが求められており、民間企業に対しても同等の緊急対応が強く推奨されています。

関連記事

HPE OneViewに未認証RCEの脆弱性（CVE-2025-37164） HPE、Juniper Networksを約140億ドル（約2兆230億円）で買収 Juniper（ジュニパー）深刻な脆弱性で緊急アップデートをリリース（CVE-2024-2973） WordPressテーマ「Motors」に深刻な脆弱性、22,000サイトが乗っ取りの危機に(CVE-2025-4322) Node.jsに高リスクの脆弱性- Windows環境におけるパストラバーサルとV8エンジンのHashDoS再発（CVE-2025-27210,CVE-2025-27209） SAP S/4HANAに要即時対応推奨の致命的な脆弱性(CVE-2025-42957) OAuth2-Proxyに重大な認証バイパスの脆弱性(CVE-2025-54576) cJSONで致命的な脆弱性（CVE-2025-57052） WinZipで重大な脆弱性(CVE-2024-8811)

投稿者：三村

セキュリティ製品を手がける上場企業にて、SOC（セキュリティオペレーションセンター）運営およびWebアプリケーション脆弱性診断の営業に8年間従事。その後、システムエンジニアへ転身し、MDMや人事系SaaSの開発に携わる。
8年の実務経験と開発者としての知見を活かし、「セキュリティ対策Lab」ではダークウェブ調査、セキュリティインシデントの分析、および高度なセキュリティ対策解説の執筆・編集を統括しています。
LinkedIn(外部サイト)