VMware vCenter/NSXに重大な脆弱性、Broadcomが修正版を公開:通知メール操作、ブルートフォース攻撃、不正アクセスの可能性
影響はVMware Cloud FoundationやTelco Cloudにも。
Broadcomは2025年9月29日(米国時間)、VMware製品に存在する複数の脆弱(ぜいじゃく)性を公表した。影響を受ける製品は、「VMware vCenter Server」「VMware NSX」、vCenterやNSXを含む「VMware Cloud Foundation」(以下、VCF)、通信向けの「VMware Telco Cloud Platform」「VMware Telco Cloud Infrastructure」など広範囲に及ぶ。これらの脆弱性は「Important」(重大)に分類され、CVSS v3スコアは7.5〜8.5とされている。
CVE-2025-41250は、vCenterにおけるSMTPヘッダインジェクションの脆弱性だ。非管理者権限を持つユーザーであってもスケジューリングされたタスクを作成できる場合、通知メールを操作できる恐れがある。最大CVSSスコアは8.5。修正版はvCenter 7.0 U3w、8.0 U3g、「VMware vSphere Foundation(VVF)」/VCF 9.0.1.0やVCF 5.2.2、Telco Cloud Platform/Infrastructure向けのKB411518で提供されている。
CVE-2025-41251は、NSXにおけるパスワードリカバリー機構の不備に起因する脆弱性。未認証の攻撃者が有効なユーザー名を特定でき、ブルートフォース攻撃を引き起こす可能性がある。最大CVSSスコアは8.1。
CVE-2025-41252もNSXに関連し、ユーザー名を列挙できる脆弱性だ。未認証の攻撃者によって悪用されると、不正アクセスにつながる可能性がある。最大CVSSスコアは7.5。
CVE-2025-41251とCVE-2025-41252の脆弱性には、NSX 4.2.2.2/4.2.3.1/4.1.2.7、NSX-T 3.2.4.3、VVF/VCF 9.0.1.0、VCF向けのKB88287、Telco Cloud Platform/Infrastructure向けのKB411518などの修正版が提供されている。
Broadcomは、今回公表した脆弱性について「ワークアラウンド(回避策)は存在せず、修正版の適用が必要」としている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
農業分野でサイバー攻撃が前年比101%増の急伸 チェック・ポイント、2025年8月の脅威動向を発表
攻撃グループ「Qilin」「Akira」が、Rustベースの暗号化ツールを活用。
VMwareのバージョン9が提供開始、VCFへの完全集約は近いのか
BroadcomがVMware新バージョン「VMware Cloud Foundation 9.0」の一般提供を開始した。「作りたいと思っていたものをようやく作ることができた」とする。一方で、製品エディションの集約を示唆する動きも見られる。
国内VMwareクラウド事業者を大量切り捨て 残るのは数社のみ
Broadcomが数社を除く全ての国内VMwareクラウド事業者に契約解除を通告し、大混乱が起きている。契約を打ち切られた事業者は、2025年11月以降新規契約ができなくなる。事業者だけでなく、ユーザーも大きな影響を受ける。