米国サイバーセキュリティ機関CISAは木曜日、XWikiおよびVMware製品に影響を与える2つのセキュリティ欠陥を既知悪用脆弱性(KEV)カタログに追加しました。
XWikiの脆弱性(CVE-2025-24893、CVSSスコア9.8)は、検索パラメータの不適切なサニタイズに起因し、認証なしでリモートから、特別に細工された検索リクエストを介して悪意のあるコードを注入することが可能です。
この問題が悪用されると、攻撃者はWebサーバーの権限でコードを実行したり、機密情報を漏洩させたり、調査の運用を妨害したりすることができます。
このバグを標的とした概念実証(PoC)エクスプロイトは約半年間公開されており、3月に最初の悪用試行が観測されましたが、これらは偵察活動と見なされていました。
しかし今週初め、VulnCheckは、脅威アクターがXWikiの脆弱性を暗号通貨マイナーを設置するために悪用していると警告しました。
VMwareの欠陥(CVE-2025-41244、CVSSスコア7.8)は、Aria OperationsおよびVMware Toolsに影響するローカル権限昇格の脆弱性で、認証された攻撃者がVMware Toolsがインストールされ、SDMPが有効なAria Operationsで管理されているVM上でroot権限を取得できるものです。
Broadcomは9月下旬にこのバグの修正を提供しましたが、実際に悪用されていることには言及しませんでした。この問題を報告したNVISOによると、中国の脅威アクターが約1年間このCVEを標的にしていたとのことです。
木曜日、Broadcomはアドバイザリを更新し、「CVE-2025-41244の実際の悪用が発生したと考えられる情報を持っている」と述べました。
同時に、CISAはこのCVEとXWikiの欠陥をKEVリストに追加し、連邦機関に対し、拘束力のある運用指令(BOD)22-01に基づき、11月20日までにパッチを適用するよう促しました。
翻訳元: https://www.securityweek.com/cisa-adds-exploited-xwiki-vmware-flaws-to-kev-catalog/
