「VMware Workspace ONE Access」「vIDM」に脆弱性 - アップデートがリリース

VMwareが提供する「VMware Workspace ONE Access」や旧製品の「VMware Identity Manager（vIDM）」に複数の脆弱性が明らかとなった。アップデートが提供されている。

両製品に、2件の脆弱性「CVE-2021-22002」「CVE-2021-22003」が明らかとなったもの。スイート製品である「VMware Cloud Foundation」「vRealize Suite Lifecycle Manager」なども影響を受ける。

「CVE-2021-22002」は、本来8443番ポート経由でアクセスするウェブコンソールの設定ページに、ホストヘッダを改ざんすることで443番ポート経由でアクセスが可能となる脆弱性。

共通脆弱性評価システム「CVSSv3.0」のベーススコアは「8.6」で、同社は「重要（Important）」とレーティングしている。「vIDM」が実装されている「VMware vRealize Automation 7.6」についても同脆弱性の影響を受ける。

また意図せず7443番ポートにログインインターフェイスを表示する脆弱性「CVE-2021-22003」が明らかとなった。「CVSSv3.0基本値」は「3.7」と評価している。

同社は、脆弱性を修正するアップデートをリリースするとともに、一部回避策をアナウンスした。「VMware vRealize Automation 7.6」に関しては、パッチの提供を計画中としており、注意が必要となる。

（Security NEXT - 2021/08/10 ） ツイート

PR

関連記事

LLM基盤「SGLang」に脆弱性 - API外部公開で高リスク
米当局、脆弱性8件の悪用確認 - 4件は3日以内の緊急対応求める
「SKYSEA Client View」などに権限昇格の脆弱性 - 修正を呼びかけ
「Junos OS」などに脆弱性 - 運用スクリプトを許可する環境に影響
オムロン製UPSのWindows向け管理アプリに脆弱性 - 修正版が公開
エラー追跡ツール「Sentry」に脆弱性 - アカウント乗っ取りのおそれ
ファイルサーバ「goshs」に認証回避など複数脆弱性 - 修正版を公開
「Apache ActiveMQ」にRCE脆弱性 - 悪用が確認され「KEV」にも登録
「Cisco ISE」に複数の深刻な脆弱性 - 一部修正パッチを準備中
「Ivanti Neurons for ITSM」に脆弱性 - アップデートを提供