IBMのストレージ管理製品に脆弱性 - 認証バイパスやRCEのおそれ

IBMのストレージ管理製品「IBM SAN Volume Controller」「IBM Storwize」「IBM Spectrum Virtualize」「IBM FlashSystem」に脆弱性が明らかとなった。

各製品に実装されている「IBM Storage Virtualize」のグラフィカルユーザーインターフェース（GUI）に複数の脆弱性が判明したもの。

具体的には、細工されたHTTPリクエストを送信することで「RPCAdapter」の認証をバイパスできる「CVE-2025-0159」が確認された。

また「IBM FlashSystem」において「RPCAdapter」サービスの制限が適切に行われておらず、リモートから任意のコードを実行できる脆弱性「CVE-2025-0160」が明らかとなっている。

共通脆弱性評価システム「CVSSv3.1」のベーススコアは「CVE-2025-0159」が「9.1」、「CVE-2025-0160」が「8.1」と続き、重要度はそれぞれ「クリティカル（Critical）」「高（High）」とレーティングされている。

「IBM Storage Virtualize 8.7.2.2」「同8.7.0.3」「同8.6.0.6」「同8.5.0.14」に影響があり、同社は脆弱性を修正したアップデートをリリース。利用者にアップデートを呼びかけている。

（Security NEXT - 2025/03/07 ） ツイート

PR

関連記事

Perl向け暗号ライブラリ「CryptX」に複数脆弱性
監視ソフト「IBM Tivoli Monitoring」にRCE脆弱性 - 早急に更新を
掲示板ツール「vBulletin」に深刻な脆弱性 - 実証コードや悪用も
ZohoのExchange監視ツールに深刻な脆弱性 - アップデートを
「Wazuh」や「Windows WEBDAV」の脆弱性悪用に注意
「Firefox」に脆弱性、アップデートを公開 - 「クリティカル」との評価も
「Adobe Commerce」に緊急対応必要な脆弱性 - 「Magento」も注意
Adobe、複数製品にアップデート - 250件以上の脆弱性を解消
Pythonの「tarfile」モジュールに脆弱性 - クリティカルも
「M365 Copilot」に情報漏洩の深刻な脆弱性 - すでに修正済み