「VMware vRO」にXXE脆弱性 - アップデートがリリース

「VMware vRealize Orchestrator」「VMware vRealize Automation」に脆弱性が明らかとなった。アップデートが提供されている。

XML外部実体参照（XXE）の脆弱性「CVE-2023-20855」が明らかとなったもの。非公開で外部より報告を受けたという。脆弱性を悪用されると、権限の昇格や情報漏洩が生じるおそれがある。

共通脆弱性評価システム「CVSSv3.1」のベーススコアを「8.8」、重要度を「重要（Important）」とレーティングしている。

VMwareでは、それぞれ修正版となる「同8.11.1」をリリース。「VMware Cloud Foundation」についても同脆弱性の影響を受けるとして注意を呼びかけている。

（Security NEXT - 2023/02/24 ） ツイート

PR

関連記事

「Trend Micro Apex One」のEDR機能に脆弱性 - パッチは2026年1月に公開
約4万件の脆弱性から分析、2025年の危険な「脆弱性タイプ」トップ25
データ管理システムで設定ミス、顧客情報が閲覧可能に - ピラティス専門店
システムやECサイトで攻撃検知、関連性は未確認 - タカラスタンダード
相談内容など2198件含む報告書をメールで誤送信 - 名古屋市
不正アクセスで医療従事者情報などが流出か - 富士フイルムメディカル
保管していた国勢調査関係書類が一部所在不明、検査過程で判明 - 福岡市
鹿児島県共生・協働センターのFacebookアカで不正投稿 - 不正な広告も
ランサム被害を確認、納品用ファイルは無事 - オムニバス・ジャパン
「LangChain」に深刻な脆弱性 - APIキー流出のおそれ