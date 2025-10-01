影響はVMware Cloud FoundationやTelco Cloudにも。
Broadcomは2025年9月29日（米国時間）、VMware製品に存在する複数の脆弱（ぜいじゃく）性を公表した。影響を受ける製品は、「VMware vCenter Server」「VMware NSX」、vCenterやNSXを含む「VMware Cloud Foundation」（以下、VCF）、通信向けの「VMware Telco Cloud Platform」「VMware Telco Cloud Infrastructure」など広範囲に及ぶ。これらの脆弱性は「Important」（重大）に分類され、CVSS v3スコアは7.5〜8.5とされている。
CVE-2025-41250は、vCenterにおけるSMTPヘッダインジェクションの脆弱性だ。非管理者権限を持つユーザーであってもスケジューリングされたタスクを作成できる場合、通知メールを操作できる恐れがある。最大CVSSスコアは8.5。修正版はvCenter 7.0 U3w、8.0 U3g、「VMware vSphere Foundation（VVF）」/VCF 9.0.1.0やVCF 5.2.2、Telco Cloud Platform/Infrastructure向けのKB411518で提供されている。
CVE-2025-41251は、NSXにおけるパスワードリカバリー機構の不備に起因する脆弱性。未認証の攻撃者が有効なユーザー名を特定でき、ブルートフォース攻撃を引き起こす可能性がある。最大CVSSスコアは8.1。
CVE-2025-41252もNSXに関連し、ユーザー名を列挙できる脆弱性だ。未認証の攻撃者によって悪用されると、不正アクセスにつながる可能性がある。最大CVSSスコアは7.5。
CVE-2025-41251とCVE-2025-41252の脆弱性には、NSX 4.2.2.2／4.2.3.1／4.1.2.7、NSX-T 3.2.4.3、VVF/VCF 9.0.1.0、VCF向けのKB88287、Telco Cloud Platform/Infrastructure向けのKB411518などの修正版が提供されている。
Broadcomは、今回公表した脆弱性について「ワークアラウンド（回避策）は存在せず、修正版の適用が必要」としている。
