VMwareは、VMware Cloud Foundation(VCF)Operationsに影響を与える複数の深刻な蓄積型クロスサイトスクリプティング(XSS)脆弱性を公開しました。これらの脆弱性を悪用されると、攻撃者が悪意あるスクリプトを注入し、管理環境を侵害するおそれがあります。
CVE-2026-41722、CVE-2026-41723、CVE-2026-41724として追跡されているこれらの問題は、2026年6月8日にアドバイザリ「VMSA-2026-0004」として公開されました。CVSSv3ベーススコアはいずれも8.0で、エンタープライズ環境に対して高い深刻度のリスクをもたらすことが示されています。
VMware 蓄積型XSS脆弱性の詳細
アドバイザリによると、これらの脆弱性は管理インターフェースでユーザー入力を処理するVCF Operationsのコンポーネントに存在しています。
入力検証および出力エンコードが不適切であるため、脅威アクターはプラットフォーム内に細工された悪意あるJavaScriptペイロードを蓄積させることができます。その後、管理者を含む権限ユーザーがアクセスした際、注入されたスクリプトがユーザーのブラウザセッションのコンテキスト内で実行される仕組みです。
この構造により持続的な攻撃経路が生まれます。管理ダッシュボードへのアクセスが頻繁に行われるエンタープライズの仮想化・クラウドオーケストレーション環境において、蓄積型XSSは特に危険な脅威となります。
CVE-2026-41722、CVE-2026-41723、CVE-2026-41724の悪用に成功した攻撃者は、認証済みセッションのハイジャック、機密トークンの窃取、設定の改ざん、あるいは基盤となるインフラへのさらなる侵入といった攻撃を実行できる可能性があります。
VCF OperationsはvCenterやクラウド自動化ワークフローをはじめとするVMwareエコシステムの広範なコンポーネントと統合されることが多いため、悪用された場合にはハイブリッドおよびマルチクラウド環境全体に連鎖的な影響が及ぶ可能性があります。
これらの脆弱性を利用した攻撃者は、他の脆弱性や設定ミスと組み合わせて権限昇格や持続的なアクセスを維持しようとする可能性もあります。
セキュリティ研究者は、一元管理プラットフォームにおける蓄積型XSS脆弱性は、管理インターフェースに固有の信頼モデルにより重大なリスクをもたらすと指摘しています。反射型XSSとは異なり、蓄積型の脆弱性はユーザーの繰り返しの操作を必要としないため、ペイロードが一度埋め込まれると悪用成功の可能性が高まります。
複数の管理者が存在する環境や運用ロールを共有している環境では、攻撃対象がさらに拡大します。侵害されたインターフェースにアクセスする権限を持つユーザーであれば、誰でも悪意あるコードを実行してしまうおそれがあるためです。
VMwareはこれらの脆弱性に対する回避策は存在しないと明言しており、パッチの適用が唯一の有効な対策となっています。影響を受けるバージョンのVMware Cloud Foundation Operationsを使用している組織は、最新のセキュリティアップデートを直ちに適用することを強く推奨します。
公開後に概念実証(PoC)コードが公開されたり、脅威アクターの関心が高まったりすることを踏まえると、対応が遅れた場合は重要インフラへの積極的な悪用にさらされるリスクがあります。
防御の観点からは、VCF Operationsインターフェースへのアクセスコントロールをレビューするとともにできる限り厳格な入力検証の仕組みを導入し、不審なスクリプト実行や異常なセッション動作といったXSS悪用の兆候を示す異常なアクティビティがないかログを監視することも推奨されます。
Webアプリケーションファイアウォール(WAF)のルールやブラウザ側の保護機能も限定的な緩和策にはなり得ますが、ベンダーのパッチの代替手段とは見なすべきではありません。
VMSA-2026-0004の公開は、高い影響力を持つアクセスポイントを狙う攻撃者によってエンタープライズ管理プラットフォームが引き続き標的にされている現実を改めて示しています。仮想化・クラウドオーケストレーションツールが現代のインフラの中核を担い続ける中、これらのコントロールプレーンを保護することはエンタープライズ全体のセキュリティ態勢を維持する上で不可欠です。
翻訳元: https://gbhackers.com/multiple-vmware-stored-xss-flaw/
