複数のVMware製品にOSコマンドインジェクションの脆弱性、パッチは近日中に公開予定 | ScanNetSecurity
2026.03.15(日)

複数のVMware製品にOSコマンドインジェクションの脆弱性、パッチは近日中に公開予定

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は11月24日、複数のVMware製品に存在するOSコマンドインジェクションの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
34 views
facebookLINE
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は11月24日、複数のVMware製品に存在するOSコマンドインジェクションの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

VMware Workspace One Access (Linux 版) バージョン 20.01 および 20.10
VMware Identity Manager (Linux 版) バージョン 3.3.1, 3.3.2 および 3.3.3
VMware Identity Manager Connector (Linux 版) バージョン 3.3.1 および 3.3.2
VMware Identity Manager Connector (Windows 版) バージョン 3.3.1, 3.3.2 および 3.3.3
VMware Cloud Foundation バージョン 4.x
vRealize Suite Lifecycle Manager バージョン 8.x

JVNによると、VMwareが提供する複数の製品には、OSコマンドインジェクション(CWE-78)の脆弱性が存在し、想定される影響としては、管理者権限を取得し8443/TCPポートの管理用設定機能にアクセス可能な遠隔の第三者によって、当該製品が動作しているOS上で任意のOSコマンドを実行される可能性がある。

11月24日現在で、本脆弱性への対策方法は公開されていないが、開発者によるとパッチを近日中に公開予定。ただし、VMware Workspace One Access(Linux 版)、VMware Identity Manager(Linux 版)、VMware Identity Manager Connector(Linux 版)、VMware Identity Manager Connector(Windows 版)については、開発者より回避策が公開されており、適用することで本脆弱性の影響を軽減することが可能。

《ScanNetSecurity》

関連記事

特集

関連リンク

PageTop

アクセスランキング

  1. 奴らの仕事は自社製品を壊しまくること ~ Microsoft 攻撃研究チーム「STORM」が示すセキュリティの本気度

    奴らの仕事は自社製品を壊しまくること ~ Microsoft 攻撃研究チーム「STORM」が示すセキュリティの本気度

  2. 攻撃者グループのリークサイトで窃取されたと思われる情報が公開 ~ 西山製作所へのランサムウェア攻撃

    攻撃者グループのリークサイトで窃取されたと思われる情報が公開 ~ 西山製作所へのランサムウェア攻撃

  3. つくるAI の AWS アカウントに不正アクセス、Amazon SES を不正に操作しフランス語圏のユーザーにフィッシングメール送信

    つくるAI の AWS アカウントに不正アクセス、Amazon SES を不正に操作しフランス語圏のユーザーにフィッシングメール送信

  4. L2 スイッチでゼロトラストを実現、「セキュリティ予算」でなく「ネットワーク機器予算」で導入 ~ パイオリンクが語る超現実解

    L2 スイッチでゼロトラストを実現、「セキュリティ予算」でなく「ネットワーク機器予算」で導入 ~ パイオリンクが語る超現実解PR

  5. アドバンテストのネットワークに不正アクセス、ランサムウェア展開可能性

    アドバンテストのネットワークに不正アクセス、ランサムウェア展開可能性

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP