2025年9月29日 Broadcomは、VMware Aria OperationsおよびVMware Toolsに影響する3件の脆弱性(CVE-2025-41244/41245/41246)に対する修正を公開しました。深刻度はCVSS 7.8〜4.9(Important〜Moderate)で、ローカル特権昇格、情報漏えい、認可不備が対象です。
影響する主な製品・バージョン(抜粋)
-
VMware Aria Operations(8.x/5.x/4.x/3.x/2.x)
-
VMware Tools(Windows/Linuxの13.x/12.x/11.x。CVE-41246はWindowsのみ)
-
VMware Cloud Foundation(VCF)/vSphere Foundation
-
VMware Telco Cloud Platform/Telco Cloud Infrastructure
※VCF/Aria連携環境はKB92148(VCF側対応)やAria Operations 8.18.5の適用が必要です。
修正バージョンと入手先
-
Aria Operations:8.18.5
-
VMware Tools:13.0.5、12.5.4(Windows/Linux)
-
VCF Operations:9.0.1.0(Tools 13.0.5を内包)
いずれもBroadcomのリリースノート/ダウンロードポータルで提供。ワークアラウンドなしのため、計画より前倒しで適用してください。
脆弱性の概要
-
CVE-2025-41244|ローカル特権昇格(CVSS 7.8 / Important)
Aria Operationsで管理され、SDMPが有効な環境下で、VMware Toolsが導入されたゲストVM内の非管理者が、同一VM上でroot権限へ昇格できる可能性があります。報告者:Maxime Thiebaut(NVISO)。
修正:VMware Tools 13.0.5 / 12.5.4、Aria Operations 8.18.5。Linux配布版のopen-vm-toolsは各ディストリから提供予定。 -
CVE-2025-41245|Aria Operationsにおける情報漏えい(CVSS 4.9 / Moderate)
Aria Operations内の非管理者が、他ユーザーの資格情報を閲覧できる恐れ。報告:Sven Nobis・Lorin Lehawany(ERNW)。
修正:Aria Operations 8.18.5(および関連プラットフォーム更新)。 -
CVE-2025-41246|VMware Tools for Windowsの不適切な認可(CVSS 7.6 / Important)
ゲストVMの非管理者で、vCenter/ESXで認証済みの攻撃者が、他のゲストVMへアクセスできる恐れ。標的VMとvCenter/ESXの認証情報把握が前提。報告:Tom Jøran Sønstebyseter Rønning(Statnett)。
修正:VMware Tools 13.0.5 / 12.5.4。Linux/macOS版のToolsは非対象。
関連記事
Microsoftが偵察から仮想通貨 盗難まで行うトロイの木馬「StilachiRAT」を発見
北朝鮮のハッカー集団 Lazarus(ラザルス)とは?攻撃手法や日本での被害実例
サイバー攻撃とは? 種類・目的・企業への影響と対策を2026年最新データで解説
VMwareがローカル権限昇格の脆弱性を修正 (CVE-2025-22231)
DDoS攻撃とは?攻撃事例や防御策を解説
恒心教 (こうしんきょう)とは ネット上のジョークが社会問題化
100万超ダウンロードされている、React Ariaのnpmにマルウェアが組み込まれている-サプライチェーン攻撃か
-200x200.png)
Windows版のVMware Tools に認証バイパスの脆弱性、対象者はアップデートを(CVE-2025-22230)
VMwareが深刻度が高い脆弱性に緊急パッチを公開-Cloud FoundationおよびvCenterなどに深刻なリスク(VMSA-2025-0009,VMSA-2025-0010)
