セキュリティ

SECURITY

公開：2025-01-29

【CVE-2025-21111】Dell VxRail 8.0シリーズにパスワード漏洩の脆弱性、高い特権を持つ攻撃者からの情報漏洩のリスクが存在

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Dell VxRailに重大なパスワード脆弱性が発見
• バージョン8.0.000から8.0.311が影響を受ける
• ローカルアクセスによる情報漏洩のリスクが存在

Dell VxRail 8.0シリーズのパスワード脆弱性

Dell EMCは2025年1月8日、Dell VxRailのバージョン8.0.000から8.0.311において平文でパスワードを保存する脆弱性が発見されたことを公表した。この脆弱性は高い特権を持つ攻撃者がローカルアクセスを通じて情報漏洩を引き起こす可能性があるものとして報告されている。^[1]

CVSSスコアは7.5（High）と評価されており、攻撃元区分はローカル、攻撃条件の複雑さは高いとされている。また、攻撃に必要な特権レベルは高く、ユーザーの関与は不要だが、影響の想定範囲に変更があるとされているのだ。

脆弱性の種類はCWE-256（平文でのパスワード保存）に分類されており、Dell EMCはセキュリティアドバイザリDSA-2025-025を通じて対策情報を提供している。この脆弱性に関する技術的な詳細は、Dell EMCのサポートナレッジベースで確認することができる。

Dell VxRail脆弱性の詳細

平文でのパスワード保存について

平文でのパスワード保存とは、パスワードを暗号化せずにそのままの形で保存することを指す。主な特徴として、以下のような点が挙げられる。

• パスワードが暗号化されていないため第三者による読み取りが容易
• データベースや設定ファイルへの不正アクセスで直接パスワードが漏洩
• セキュリティ上の重大なリスクとして広く認識されている問題

Dell VxRailの脆弱性では、高い特権を持つ攻撃者がローカルアクセスを通じてこの平文保存されたパスワードにアクセスできる可能性がある。この脆弱性は情報漏洩につながる重大なセキュリティリスクを引き起こす可能性が高い。

Dell VxRailの脆弱性に関する考察

Dell VxRailの脆弱性は、HCIシステムにおけるパスワード管理の重要性を再認識させる重大な問題となっている。特に高い特権を持つユーザーによるローカルアクセスという限定的な条件下ではあるものの、パスワードが平文で保存されていた事実は、基本的なセキュリティ対策の見直しが必要であることを示唆している。

今後は同様の脆弱性を防ぐため、パスワードの暗号化やアクセス制御の強化など、より堅牢なセキュリティ対策の実装が求められる。特にエンタープライズ向けのインフラストラクチャ製品では、設計段階からセキュリティを考慮したアプローチが不可欠だろう。

また、Dell EMCには脆弱性の修正パッチの迅速な提供と、影響を受けるユーザーへの明確な対応ガイドラインの提示が期待される。今回の事例を教訓として、HCI製品全般におけるセキュリティ強化の取り組みが加速することが望まれる。

参考サイト

1. ^ CVE. 「CVE-2025-21111 | CVE」. https://www.cve.org/CVERecord?id=CVE-2025-21111, (参照 25-01-29).
2. Dell. https://www.dell.com/ja-jp

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧