Hewlett Packard Enterprise Company(以下、HPE)は6月3日(米国時間)、「HPESBST04847 rev.1 - HPE StoreOnce Software, Multiple Vulnerabilities」において、同社のデータバックアップ&重複排除ソリューション「StoreOnce VSA」に存在する8件の脆弱性を修正したと発表した。
これら脆弱性を悪用されると、認証されていないユーザーが遠隔から任意のコード実行、情報窃取、任意のファイル削除などを実行できる可能性がある。
-
HPESBST04847 rev.1 - HPE StoreOnce Software, Multiple Vulnerabilities
脆弱性に関する情報
脆弱性の情報は次のページにまとまっている。
- ZDI-25-312 | Zero Day Initiative
- ZDI-25-313 | Zero Day Initiative
- ZDI-25-314 | Zero Day Initiative
- ZDI-25-315 | Zero Day Initiative
- ZDI-25-316 | Zero Day Initiative
- ZDI-25-317 | Zero Day Initiative
- ZDI-25-318 | Zero Day Initiative
- ZDI-25-319 | Zero Day Initiative
脆弱性の情報(CVE)は次のとおり。
- CVE-2025-37089、CVE-2025-37092、CVE-2025-37096 - コマンドインジェクションの脆弱性。認証されたリモートの攻撃者は任意のコードを実行できる可能性がある(CVSSv4スコア: 7.5)
- CVE-2025-37090 - サーバーサイドリクエストフォージェリー(SSRF: Server-Side Request Forgery)の脆弱性。認証されていないリモートの攻撃者は、任意のサーバー側リクエストを開始できる可能性がある(CVSSv4スコア: 6.9)
- CVE-2025-37091 - コマンドインジェクションの脆弱性。認証されたリモートの攻撃者は任意のコードを実行できる可能性がある(CVSSv4スコア: 7.2)
- CVE-2025-37093 - 不適切な認証の脆弱性。認証されていないリモートの攻撃者は、認証をバイパスできる可能性がある(CVSSv4スコア: 9.8)
- CVE-2025-37094 - パストラバーサルの脆弱性。認証されたリモートの攻撃者は、任意のファイルを削除できる可能性がある(CVSSv4スコア: 5.5)
- CVE-2025-37095 - パストラバーサルの脆弱性。認証されたリモートの攻撃者は、機密情報を窃取できる可能性がある(CVSSv4スコア: 5.9)
脆弱性が存在する製品
脆弱性が存在するとされる製品およびバージョンは次のとおり。
- HPE StoreOnce VSA v4.3.11よりも前のバージョン
脆弱性が修正された製品
脆弱性が修正された製品およびバージョンは次のとおり。
- HPE StoreOnce VSA v4.3.11およびこれ以降のバージョン
影響と対策
発見された脆弱性の多くは認証を必要とするが、認証バイパスの脆弱性「CVE-2025-37093」を併用することで認証を回避して悪用可能とされる。また、認証バイパスの脆弱性の深刻度は緊急(Critical)と評価されており注意が必要。
当該製品を運用している管理者には、「Hewlett Packard Enterprise Support Center」からHPE StoreOnceソフトウェアをダウンロードして、速やかにアップデートすることが推奨されている。
GoogleやAppleなど160億件の認証情報が漏洩、パスワードの見直しを
