「vCenter Server」「ESXi」などVMware製品に複数脆弱性
Broadcomは現地時間2025年5月20日、セキュリティアドバイザリを公開し、「vCenter Server」「VMware ESXi」「Workstation」「Fusion」など複数製品に関する脆弱性を明らかにした。アップデートが提供されている。
「vCenter Server」では、アラームの作成やスクリプト実行の権限を持つ攻撃者によって任意のコマンドを実行できる「CVE-2025-41225」やクロスサイトスクリプティング(XSS)の脆弱性「CVE-2025-41228」が判明した。
「ESXi」では、同じくXSSの脆弱性「CVE-2025-41228」にくわえて、サービス拒否が生じる脆弱性「CVE-2025-41226」「CVE-2025-41227」が明らかとなっている。このうち「CVE-2025-41227」に関しては「VMware Workstation」「VMware Fusion」も影響を受けるという。
共通脆弱性評価システム「CVSSv3.1」のベーススコアを見ると、今回判明したなかでもっともスコアが高い「CVE-2025-41225」が「8.8」と評価されている。「CVE-2025-41226」が「6.8」で続く。「CVE-2025-41227」については「5.5」、「CVE-2025-41228」は「4.3」とした。
Broadcomでは、「vCenter Server」に関するアップデート「同8.0 U3e」「同7.0 U3v」について重要度を4段階中、上から2番目にあたる「重要(Important)」とレーティング。「VMware ESXi」「VMware Workstation」「VMware Fusion」のアップデートについては1段階低い「中(Moderate)」とした。
またこれら製品が含まれる「VMware Cloud Foundation」「VMware Telco Cloud Platform」「VMware Telco Cloud Infrastructure」についてもアップデートするよう求めている。
(Security NEXT - 2025/05/21 )
ツイート
PR
関連記事
「openSUSE Tumbleweed」の「cyrus-imapd」に深刻な脆弱性
「Argo CD」に脆弱性 - Kubernetesリソースを操作されるおそれ
「Thunderbird 139」で重大脆弱性 - 採番CVEに見直しの可能性
「Netwrix Directory Manager」に深刻な脆弱性 - 早急に対応を
「BIND 9」に緊急脆弱性 - 1パケットでDoS攻撃が可能
「VMware Avi Load Balancer」にブラインドSQLi脆弱性
LLM向け開発フレームワーク「Langroid」に脆弱性 - 公開アプリで影響大
「Microsoft Edge」の更新プログラムに脆弱性 - 修正を実施
「Firefox 139」を公開 - 「クリティカル」脆弱性に対処
大規模言語モデル用推論エンジン「vLLM」にRCE脆弱性
