VMware、「vRO」など複数製品の脆弱性を修正

VMwareは、「VMware vRealize Orchestrator」をはじめ、同社複数製品の脆弱性を公開し、アップデートをリリースした。

具体的には、「VMware vRealize Orchestrator」に関するオープンリダイレクトの脆弱性「CVE-2021-22036」を修正。

さらに「VMware vRealize Log Insight」におけるCSVインジェクションの脆弱性「CVE-2021-22035」や「VMware vRealize Operations」におけるサーバサイドリクエストフォージェリ（SSRF）の脆弱性「CVE-2021-22033」に対処した。

脆弱性の重要度を見ると、「CVE-2021-22035」「CVE-2021-22036」は4段階中、上から3番目にあたる「中（Moderate）」、共通脆弱性評価システム「CVSSv3.1」のベーススコアはいずれも「6.5」と評価されている。「CVE-2021-22033」は重要度がもっとも低い「低（Low）」でCVSS基本値は「2.7」。

同社は各製品に向けてアップデートをリリース。またあわせて影響を受ける「VMware Cloud Foundation」「vRealize Suite Lifecycle Manager」などに対しても一部準備中とされているが、修正を実施している。

（Security NEXT - 2021/10/13 ） ツイート

PR

関連記事

「SonicWall SMA 100」シリーズに脆弱性 - アップデートが公開
Apple、「iOS 26.1」「iPadOS 26.1」を公開 - 56件の脆弱性を解消
「CentreStack」「CWP」脆弱性の悪用に注意喚起 - 米当局
入退室管理製品「UniFi Access」の管理APIに認証不備の脆弱性
「Elastic Cloud Enterprise」に脆弱性 - API経由で不正操作のおそれ
Google、「Chrome 142」でV8関連はじめ脆弱性20件を修正
ファイル転送ソフト「MOVEit Transfer」にDoS脆弱性 - 修正版公開
「VMware Tools」「Aria Operations」既知脆弱性、悪用事例の報告
米当局、「XWiki Platform」「Aria Operations」脆弱性を悪用リストに追加
組織の「ネット玄関口」狙う攻撃に注意 - 可視化や脆弱性対策の徹底を