VMwareのAvi Load Balancerに深刻な脆弱性7件、パッチが公開

Broadcomは火曜日、VMware Avi Load Balancerの新しいアップデートで、複数のクリティカルおよび重要度の高い脆弱性を修正したと発表しました。

VMware Avi Load Balancerは、ハイブリッドクラウドおよびマルチクラウド環境のアプリケーション向けに、ロードバランシングやアプリケーションセキュリティ、分析機能を提供するソフトウェア定義型プラットフォームです。

Broadcomによると、2名の外部研究者が最近、このVMware製品に潜在的に深刻な脆弱性が7件存在することを発見しました。  

NATOのテクノロジー・サイバーハブに所属するFilip Waeytens氏は、攻撃者がネットワークアクセスを通じてAviのコントロールプレーンに侵入できる、クリティカルな認証バイパスの問題であるCVE-2026-47865を発見したとして評価されています。

Waeytens氏はさらに、攻撃者が認証をバイパスし、任意のコードを実行し、root権限まで昇格できる重要度の高い脆弱性を3件発見しています。これらの脆弱性の悪用にはネットワークアクセスまたはローカルアクセスが必要で、CVE-2026-47866CVE-2026-47867CVE-2026-47868として追跡されています。

Viettel IDCのLang Khuong Duy氏は、ディレクトリトラバーサル攻撃(CVE-2026-47871)と権限昇格(CVE-2026-47870)に悪用され得る、Avi Load Balancerの重要度の高い脆弱性2件を発見しました。

Lang氏とWaeytens氏はいずれも、ネットワークアクセスを持つ認証済み攻撃者に悪用され得るリモートコード実行の重要度の高い脆弱性CVE-2026-47869を責任ある形で報告したとして、Broadcomから評価されています。

Broadcomのアドバイザリでは、これらの脆弱性のいずれについても実際の悪用は確認されていないとしています。 

とはいえ、脅威アクターがVMware製品の脆弱性を悪用する攻撃は珍しくないため、各組織は最新のアップデートを速やかに適用することが重要です。

翻訳元: https://www.securityweek.com/7-severe-vulnerabilities-patched-in-vmware-avi-load-balancer/

ソース: securityweek.com