複数のVMware製品にOSコマンドインジェクションの脆弱性、パッチは近日中に公開予定 | ScanNetSecurity
2026.06.08(月)

複数のVMware製品にOSコマンドインジェクションの脆弱性、パッチは近日中に公開予定

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は11月24日、複数のVMware製品に存在するOSコマンドインジェクションの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
34 views
facebookLINE
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は11月24日、複数のVMware製品に存在するOSコマンドインジェクションの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

VMware Workspace One Access (Linux 版) バージョン 20.01 および 20.10
VMware Identity Manager (Linux 版) バージョン 3.3.1, 3.3.2 および 3.3.3
VMware Identity Manager Connector (Linux 版) バージョン 3.3.1 および 3.3.2
VMware Identity Manager Connector (Windows 版) バージョン 3.3.1, 3.3.2 および 3.3.3
VMware Cloud Foundation バージョン 4.x
vRealize Suite Lifecycle Manager バージョン 8.x

JVNによると、VMwareが提供する複数の製品には、OSコマンドインジェクション(CWE-78)の脆弱性が存在し、想定される影響としては、管理者権限を取得し8443/TCPポートの管理用設定機能にアクセス可能な遠隔の第三者によって、当該製品が動作しているOS上で任意のOSコマンドを実行される可能性がある。

11月24日現在で、本脆弱性への対策方法は公開されていないが、開発者によるとパッチを近日中に公開予定。ただし、VMware Workspace One Access(Linux 版)、VMware Identity Manager(Linux 版)、VMware Identity Manager Connector(Linux 版)、VMware Identity Manager Connector(Windows 版)については、開発者より回避策が公開されており、適用することで本脆弱性の影響を軽減することが可能。

《ScanNetSecurity》

関連記事

特集

関連リンク

PageTop

アクセスランキング

  1. 北九州市立大に不正アクセス、偽警告から遠隔操作され個人情報漏えいか

    北九州市立大に不正アクセス、偽警告から遠隔操作され個人情報漏えいか

  2. SOC サービスの実態に迫る:株式会社SHIFT SECURITY と株式会社クラフ、新たな監視サービスへの挑戦

    SOC サービスの実態に迫る:株式会社SHIFT SECURITY と株式会社クラフ、新たな監視サービスへの挑戦PR

  3. 株式会社SHIFT SECURITY、新会社設立を中止し株式会社SHIFTに吸収合併へ

    株式会社SHIFT SECURITY、新会社設立を中止し株式会社SHIFTに吸収合併へ

  4. 阿波銀行への不正アクセス、原因はテスト環境の「管理不備」と発表 関係役員らの処分も

    阿波銀行への不正アクセス、原因はテスト環境の「管理不備」と発表 関係役員らの処分も

  5. 穴吹ハウジングサービスへのランサムウェア攻撃、外部に漏えいした可能性のある個人情報は 207,773 件であることを最終確認

    穴吹ハウジングサービスへのランサムウェア攻撃、外部に漏えいした可能性のある個人情報は 207,773 件であることを最終確認

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP