Broadcomは月曜日、VMware Aria Operations、NSX、vCenter、およびVMware Tools製品に影響を与える6件の脆弱性(うち4件は深刻度が高い)に対するパッチを発表しました。
Aria OperationsとVMware Toolsの両方が、CVE-2025-41244として追跡されている深刻度の高いローカル権限昇格のバグの影響を受けています。
「Aria OperationsでSDMPが有効になっているVMware ToolsがインストールされたVMにアクセスできる非管理者権限の悪意のあるローカルアクターが、この脆弱性を悪用して同じVM上でroot権限に昇格する可能性があります」とベンダーは説明しています。
また、VMware Aria Operationsにおいて攻撃者が他のユーザーの認証情報を開示できる中程度の深刻度の問題(CVE-2025-41245)や、Windows用Toolsにおいて攻撃者が他のゲストVMにアクセスできる深刻度の高い欠陥(CVE-2025-41246)にもパッチが提供されています。
これらの脆弱性に対する修正は、Aria Operationsバージョン8.18.5、Cloud FoundationおよびvSphere Foundationバージョン9.0.1.0および13.0.5.0、VMware Toolsバージョン13.0.5および12.5.4、Telco Cloud Infrastructureバージョン8.18.5および8.18.5に含まれています。
VMwareは、認証済みの非管理者権限の攻撃者が「スケジュールされたタスクの通知メールを操作できる」可能性がある、vCenterの深刻度の高いSMTPヘッダーインジェクションバグ(CVE-2025-41250)も修正しました。
さらに、NSXにおいて攻撃者が有効なユーザー名を列挙できる2件の深刻度の高い脆弱性も修正されました。
1つ目のCVE-2025-41251は、ブルートフォース攻撃につながる可能性のあるパスワードリカバリ機構の脆弱性として説明されており、2つ目のCVE-2025-41252は、不正アクセスの試行につながるユーザー名列挙の欠陥として説明されています。
広告。スクロールして続きを読む。
Cloud FoundationおよびvSphere Foundationバージョン9.0.1.0、vCenterバージョン8.0 U3gおよび7.0 U3w、Cloud Foundationバージョン5.2.2および7.0 U3w(非同期パッチ)、NSXバージョン4.2.2.2、4.2.3.1、4.1.2.7、NSX-Tバージョン3.2.4.3には、これらの脆弱性に対する修正が含まれています。VMwareはまた、Cloud FoundationおよびTelco Cloud Infrastructure向けのパッチ適用手順も公開しています。
VMwareは、これらの脆弱性が実際に悪用されたという言及はしていません。しかし、ユーザーにはできるだけ早く導入環境をアップデートすることが推奨されています。
関連記事: Apple、iOSおよびmacOSを悪意あるフォント攻撃から守るためにアップデート
関連記事: Sudoの脆弱性悪用について組織に警告
関連記事: Cognex産業用カメラのハッキングを可能にする脆弱性にパッチなし
関連記事: サイバーセキュリティ人材不足を受けて講座が拡充
