「VMware SD-WAN」に複数の脆弱性 - パッチの適用を

組織におけるWAN接続の管理機能を提供するVMwareのソリューション「VMware SD-WAN」に複数の脆弱性が明らかとなった。修正パッチが提供されている。

エッジ環境で利用する「VMware SD-WAN Edge」では、認証なしにコマンドの挿入が可能となる脆弱性「CVE-2024-22246」が明らかとなった。

ローカル環境よりアクセスできる場合にコードを実行されるおそれがあり、共通脆弱性評価システム「CVSSv3.1」のベーススコアは「7.4」、重要度は4段階中、上から2番目にあたる「重要（Important）」とレーティングされている。

またアプライアンスにおいて認証が欠如している「CVE-2024-22247」が判明した。物理的にアクセスできる場合に「BIOS」へアクセスしてブートの優先順位を変更できるという。CVSS基本値は「4.8」、重要度は「中（Moderate）」とした。

また統合管理を行う「VMware SD-WAN Orchestrator」では、オープンリダイレクトの脆弱性「CVE-2024-22248」が判明。CVSS基本値は「7.1」、重要度を「重要（Important）」としている。

いずれの脆弱性も非公開で報告を受けたという。同社は脆弱性を修正するパッチを用意しており、利用者へ対応を呼びかけている。

（Security NEXT - 2024/04/03 ） ツイート

PR

関連記事

「MS Edge」にアップデート - 脆弱性2件を解消
BeyondTrustのリモート管理製品に深刻な脆弱性 - 修正版を提供
「React Native CLI」や「SmarterMail」の脆弱性悪用に警戒を - ランサムでも
AI連携に用いる「GitLab AI Gateway」に脆弱性 - 早急に更新を
まもなく2月の月例セキュリティパッチ - 祝日直撃のため注意を
ウェブメール「Roundcube」にセキュリティ更新 - 脆弱性2件に対処
先週注目された記事（2026年2月1日〜2026年2月7日）
クライアント管理製品「FortiClientEMS」に深刻なSQLi脆弱性
業務用携帯が所在不明、除雪時に流雪溝へ落下 - 大鰐町
M365アカウントに不正アクセス、メール大量送信 - 樟蔭女子大