Supermicro、一部マザーボードのBMCに脆弱性(CVE-2025-7937,CVE-2025-6198)

セキュリティニュース

投稿日時: 更新日時:

Supermicro、一部マザーボードのBMCに脆弱性(CVE-2025-7937,CVE-2025-6198)

2025年9月Supermicroは一部マザーボードのBMC(Baseboard Management Controller)ファームウェア検証ロジック脆弱性があると公表しました。

発見者はBinarly。いずれも署名検証の不備を突いて、細工したファームウェアイメージで正規検証をすり抜け、改ざんイメージをBMCへ書き込める問題です。

脆弱性の概要

  • CVE-2025-7937(Medium / CVSSv3 6.6)
    RoT 1.0の検証処理におけるPDBAテーブル誘導の不備。未署名領域の偽PDBAへ処理をリダイレクトでき、検証を回避。

  • CVE-2025-6198(Medium / CVSSv3 6.4)
    Signing Tableの検証不備。未署名領域の偽Signing Tableへ誘導して検証を回避。

Supermicroの一部マザーボードで、BMC(Baseboard Management Controller)ファームウェアの署名検証ロジックに不備が見つかりました。外部研究者(Binarly)の報告により、細工されたファームウェアイメージを使うことで検証をすり抜け、改ざん済みBMCファームを正規として書き込めてしまう問題が判明しています。
具体的には2件のCVEが公表されており、いずれも署名テーブル/PDBAテーブルを偽装して未署名領域に誘導することで、任意コード実行・権限昇格(BMC常駐化)に至る可能性があります。Supermicroは悪用の事例は未確認としつつ、対策版BMCファームウェアを順次提供すると発表しています。

影響を受ける製品はリリースを参照