複数のVMware製品にOSコマンドインジェクションの脆弱性、パッチは近日中に公開予定 | ScanNetSecurity
2025.11.13(木)

複数のVMware製品にOSコマンドインジェクションの脆弱性、パッチは近日中に公開予定

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は11月24日、複数のVMware製品に存在するOSコマンドインジェクションの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
34 views
facebookLINE
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は11月24日、複数のVMware製品に存在するOSコマンドインジェクションの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

VMware Workspace One Access (Linux 版) バージョン 20.01 および 20.10
VMware Identity Manager (Linux 版) バージョン 3.3.1, 3.3.2 および 3.3.3
VMware Identity Manager Connector (Linux 版) バージョン 3.3.1 および 3.3.2
VMware Identity Manager Connector (Windows 版) バージョン 3.3.1, 3.3.2 および 3.3.3
VMware Cloud Foundation バージョン 4.x
vRealize Suite Lifecycle Manager バージョン 8.x

JVNによると、VMwareが提供する複数の製品には、OSコマンドインジェクション(CWE-78)の脆弱性が存在し、想定される影響としては、管理者権限を取得し8443/TCPポートの管理用設定機能にアクセス可能な遠隔の第三者によって、当該製品が動作しているOS上で任意のOSコマンドを実行される可能性がある。

11月24日現在で、本脆弱性への対策方法は公開されていないが、開発者によるとパッチを近日中に公開予定。ただし、VMware Workspace One Access(Linux 版)、VMware Identity Manager(Linux 版)、VMware Identity Manager Connector(Linux 版)、VMware Identity Manager Connector(Windows 版)については、開発者より回避策が公開されており、適用することで本脆弱性の影響を軽減することが可能。

《ScanNetSecurity》

関連記事

特集

関連リンク

PageTop

アクセスランキング

  1. 犯行声明を把握 ~ アスクルへのランサムウェア攻撃

    犯行声明を把握 ~ アスクルへのランサムウェア攻撃

  2. 出荷できていない注文は全てキャンセルに ~ アスクルへのランサムウェア攻撃

    出荷できていない注文は全てキャンセルに ~ アスクルへのランサムウェア攻撃

  3. 「SASE時代に “IPv6は危険” はもう古い」法人ネットワークの常識を更新する ~ Internet Week 2025

    「SASE時代に “IPv6は危険” はもう古い」法人ネットワークの常識を更新する ~ Internet Week 2025

  4. 家庭用ルータ・IoTルータ等のネットワーク境界の ORB 化に注意を呼びかけ

    家庭用ルータ・IoTルータ等のネットワーク境界の ORB 化に注意を呼びかけ

  5. 迅速に措置を講じ日本への影響なし ~ 電通グループ海外事業ネットワークの一部に異常な作動を検知

    迅速に措置を講じ日本への影響なし ~ 電通グループ海外事業ネットワークの一部に異常な作動を検知

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP