VMware Cloud FoundationにCVSS v3スコア9.8の脆弱性 迅速にアップデートを

VMware Cloud Foundationに「緊急」の脆弱性が存在することが報告された。同脆弱性を悪用されるとシステムの制御権が乗っ取られる危険性があるとされ、注意が必要だ。迅速なアップデートの適用が求められる。

[後藤大地，有限会社オングス]

　VMwareは2022年10月25日（現地時間）、同社のブログで、ハイブリッドクラウド基盤「VMware Cloud Foundation」に脆弱（ぜいじゃく）性が存在すると発表した。

　同セキュリティアドバイザリは公開から2日後に更新されて、今回見つかった脆弱性を利用したサイバー攻撃が実行されている旨も追加されている。該当製品を利用している場合は直ちに確認し、アップデートを適用してほしい。

VMwareはVMware Cloud Foundationの脆弱性を発表した（出典：VMwareのWebサイト）

深刻度「緊急」の脆弱性　急ぎ対処を

　脆弱性が存在する製品とバージョンは以下の通りだ。

• VMware Cloud Foundation（NSX-V） 3.11

　脆弱性が修正された製品とバージョンは以下の通りだ。

• VMware Cloud Foundation（NSX-V） 3.11 KB 89809

　修正対象の脆弱性の詳細は以下の通りだ。

• CVE-2021-39144：深刻度「緊急」（Critical）の脆弱性。XStreamオープンソースライブラリを利用したリモートコード実行の脆弱性。CVSS v3のスコア値は9.8と評価されており、緊急性の高い脆弱性と分析されている。既に同脆弱性を利用したサイバー攻撃が実行されていることが報告されており注意が必要
• CVE-2022-31678：XML外部実体（XXE：XML External Entity）に関する脆弱性。CVSS v3のスコア値は5.3で「警告」に位置付けられている

　今回見つかった脆弱性には回避策などが提供されておらず、パッチを適用する方法のみが現時点で有効だ。該当製品を使用している場合、情報を再度確認するとともに迅速にアップデートを適用してほしい。