検索
ニュース

VMware vCenter/NSXに重大な脆弱性、Broadcomが修正版を公開通知メール操作、ブルートフォース攻撃、不正アクセスの可能性

影響はVMware Cloud FoundationやTelco Cloudにも。

Share
Tweet
LINE
Hatena

 Broadcomは2025年9月29日(米国時間)、VMware製品に存在する複数の脆弱(ぜいじゃく)性を公表した。影響を受ける製品は、「VMware vCenter Server」「VMware NSX」、vCenterやNSXを含む「VMware Cloud Foundation」(以下、VCF)、通信向けの「VMware Telco Cloud Platform」「VMware Telco Cloud Infrastructure」など広範囲に及ぶ。これらの脆弱性は「Important」(重大)に分類され、CVSS v3スコアは7.5〜8.5とされている。

 CVE-2025-41250は、vCenterにおけるSMTPヘッダインジェクションの脆弱性だ。非管理者権限を持つユーザーであってもスケジューリングされたタスクを作成できる場合、通知メールを操作できる恐れがある。最大CVSSスコアは8.5。修正版はvCenter 7.0 U3w、8.0 U3g、「VMware vSphere Foundation(VVF)」/VCF 9.0.1.0やVCF 5.2.2、Telco Cloud Platform/Infrastructure向けのKB411518で提供されている。

 CVE-2025-41251は、NSXにおけるパスワードリカバリー機構の不備に起因する脆弱性。未認証の攻撃者が有効なユーザー名を特定でき、ブルートフォース攻撃を引き起こす可能性がある。最大CVSSスコアは8.1。

 CVE-2025-41252もNSXに関連し、ユーザー名を列挙できる脆弱性だ。未認証の攻撃者によって悪用されると、不正アクセスにつながる可能性がある。最大CVSSスコアは7.5。

 CVE-2025-41251とCVE-2025-41252の脆弱性には、NSX 4.2.2.2/4.2.3.1/4.1.2.7、NSX-T 3.2.4.3、VVF/VCF 9.0.1.0、VCF向けのKB88287、Telco Cloud Platform/Infrastructure向けのKB411518などの修正版が提供されている。

 Broadcomは、今回公表した脆弱性について「ワークアラウンド(回避策)は存在せず、修正版の適用が必要」としている。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る