「VMware Aria Operations for Logs」など複数製品に脆弱性
Broadcomは、「VMware Aria Operations for Logs」および「VMware Aria Operations」が影響を受ける複数の脆弱性について公表した。
現地時間2025年1月30日にセキュリティアドバイザリをリリースし、あわせて5件の脆弱性を明らかにしたもの。外部に非公開のもと報告を受けたとしており、アドバイザリの重要度を「高(High)」としている。
このうち4件は「VMware Aria Operations for Logs」に関する脆弱性。VMware製品の資格情報を読み取ることができる情報漏洩の脆弱性「CVE-2025-22218」や、管理者ユーザーとして任意の操作を実行できるクロスサイトスクリプティング(XSS)の脆弱性「CVE-2025-22219」が判明した。
共通脆弱性評価システム「CVSSv3.1」のベーススコアは、それぞれ「8.5」「6.8」としており、重要度を上から2番目にあたる「重要(Important)」としている。
さらにアクセス制御不備の脆弱性「CVE-2025-22220」とクロスサイトスクリプティング(XSS)の脆弱性「CVE-2025-22221」が存在。ともに重要度は1段階低い「中(Moderate)」とした。
(Security NEXT - 2025/01/31 )
ツイート
PR
関連記事
「ConnectWise ScreenConnect」に脆弱性 - 修正版が公開
NETSCOUT「nGeniusONE」に複数の脆弱性 - アップデートで修正
Python向けHTTPライブラリに脆弱性 - リクエストスマグリング攻撃のおそれ
ゼロデイ攻撃は8カ月以上前 - 「Active! mail」脆弱性の影響拡大に懸念
「Erlang/OTP」脆弱性、一部Cisco製品で影響が判明
「ActiveMQ NMS OpenWire Client」にRCE脆弱性 - 修正版が公開
「GitHub Enterprise Server」に複数脆弱性 - アップデートで修正
NVIDIA製GPUドライバに複数の脆弱性 - 権限昇格やDoSのおそれ
トレンドの法人向け複数製品に脆弱性 - アップデートで修正
「Erlang/OTP」に深刻なRCE脆弱性 - 概念実証コードも公開済み