Broadcomは2026年6月8日、VMware Cloud Foundation Operationsに関するセキュリティアドバイザリ VMSA-2026-0004 を公開しました。
今回修正されたのは、CVE-2026-41722、CVE-2026-41723、CVE-2026-41724の3件です。いずれも保存型クロスサイトスクリプティング、いわゆるStored XSSの脆弱性で、Broadcomは深刻度をImportant、最大CVSS v3スコアを8.0と評価しています。
Broadcomによると、権限を持つ攻撃者がポリシー、ビュー、またはテキストウィジェットを作成できる場合、スクリプトを注入し、VMware Cloud Foundation Operations上で管理操作を実行させる可能性があります。
この記事のサマリー
- Broadcomが VMSA-2026-0004 を公開しました。
- 対象は VMware Cloud Foundation Operations の保存型XSS脆弱性3件です。
- CVEは CVE-2026-41722、CVE-2026-41723、CVE-2026-41724 です。
- 最大CVSS v3スコアは8.0で、深刻度はImportantです。
- 攻撃には、ポリシー、ビュー、テキストウィジェットを作成できる権限が必要です。
- 悪用された場合、管理画面上で不正なスクリプトが実行され、管理操作につながる可能性があります。
- 影響製品は VMware Aria Operations、VMware Cloud Foundation Operations、VMware Cloud Foundation、VMware vSphere Foundation、VMware Telco Cloud Platformです。
- Broadcomは回避策なしと案内しており、修正版の適用が必要です。
- VMware Aria Operations 8.xでは、CVE-2026-41724まで含めて対応するには 8.18.7 への更新が必要です。
目次
脆弱性の概要
| 項目 | 内容 |
|---|---|
| アドバイザリ | VMSA-2026-0004 |
| 対象CVE | CVE-2026-41722、CVE-2026-41723、CVE-2026-41724 |
| 製品 | VMware Cloud Foundation Operations など |
| 種別 | 保存型クロスサイトスクリプティング |
| 深刻度 | Important |
| 最大CVSS v3 | 8.0 |
| 攻撃条件 | ポリシー、ビュー、テキストウィジェットを作成できる権限が必要 |
| 回避策 | なし |
| 修正方法 | Broadcomが案内する修正版への更新 |
Broadcomは、これらの脆弱性について、ポリシー、ビュー、テキストウィジェットを作成できる悪意あるユーザーがスクリプトを注入し、VMware Cloud Foundation Operationsで管理操作を実行できる可能性があると説明しています。
影響を受ける製品
Broadcomのアドバイザリで影響対象として示されている製品は以下です。
| 製品 | 備考 |
|---|---|
| VMware Aria Operations | 旧vRealize Operations系の運用管理製品 |
| VMware Cloud Foundation Operations | VCF環境の運用管理機能 |
| VMware Cloud Foundation | VCF環境で影響 |
| VMware vSphere Foundation | vSphere Foundation環境で影響 |
| VMware Telco Cloud Platform | 通信事業者向け基盤で影響 |
Aria Operations単体だけでなく、VMware Cloud FoundationやvSphere Foundation、Telco Cloud Platformの構成要素として利用している場合も影響確認が必要です。
修正バージョン
BroadcomのResponse Matrixでは、製品・系統ごとに修正版が案内されています。
| 対象製品・構成 | 影響バージョン | 対象CVE | 修正版 |
|---|---|---|---|
| VMware Cloud Foundation / vSphere Foundation | VMware Cloud Foundation Operations 9.1.x.x | CVE-2026-41722、CVE-2026-41723 | 9.1.0.0 |
| VMware Cloud Foundation / vSphere Foundation | VMware Cloud Foundation Operations 9.0.x.x | CVE-2026-41722、CVE-2026-41723 | 9.0.2.0 EP2 |
| VMware Aria Operations | 8.x | CVE-2026-41722、CVE-2026-41723 | 8.18.6 |
| VMware Aria Operations | 8.x | CVE-2026-41722、CVE-2026-41723、CVE-2026-41724 | 8.18.7 |
| VMware Cloud Foundation | VMware Aria Operations 5.x | CVE-2026-41722、CVE-2026-41723、CVE-2026-41724 | 8.18.7 |
| VMware Telco Cloud Platform | VMware Aria Operations 5.x | CVE-2026-41722、CVE-2026-41723、CVE-2026-41724 | KB443138参照 |
VMware Aria Operations 8.xでは、CVE-2026-41722とCVE-2026-41723については8.18.6が修正版として示されています。一方、CVE-2026-41724まで含めて対応するには8.18.7が必要です。運用上は、互換性を確認したうえで8.18.7への更新を優先するのが安全です。
保存型XSSとは
保存型XSSは、攻撃者が入力した不正なスクリプトがサーバー側に保存され、管理画面や利用者画面を閲覧した別のユーザーのブラウザ上で実行される脆弱性です。
今回の脆弱性では、攻撃者がポリシー、ビュー、テキストウィジェットなどを作成できる権限を持っていることが前提です。つまり、未認証の外部攻撃者がインターネット越しに即座に悪用できるタイプではありません。
一方で、VMware Cloud Foundation Operationsは、仮想基盤やクラウド基盤の運用状況を管理する重要な画面です。権限を持つユーザーによる不正スクリプトが管理者のブラウザで実行された場合、管理操作、設定変更、セッション悪用、情報閲覧などにつながる可能性があります。
なぜ危険なのか
今回の脆弱性は、攻撃に一定の権限が必要です。そのため、リモートコード実行や認証不要の脆弱性と比べると攻撃条件は限定されます。
しかし、VMware Cloud Foundation Operationsのような運用管理基盤では、権限を持つユーザーや委託先アカウントが多数存在する場合があります。アカウントが侵害されたり、低権限ユーザーに過剰な作成権限が付与されていたりすると、保存型XSSが管理者操作の踏み台になる可能性があります。
想定される影響は以下です。
| 想定影響 | 内容 |
|---|---|
| 管理者ブラウザ上でのスクリプト実行 | 管理画面を開いた管理者の操作権限を悪用される可能性 |
| 管理操作の誘導 | 設定変更や管理操作を不正に実行される可能性 |
| 情報閲覧 | ダッシュボードや運用情報を読み取られる可能性 |
| セッション悪用 | 管理者セッションに関連する情報を悪用される可能性 |
| 権限の横展開 | 低権限アカウントを起点に、より高い権限の操作へつながる可能性 |
| 内部不正の補助 | 正規権限を持つユーザーによる不正操作の隠蔽や誘導に悪用される可能性 |
特に、ビューやウィジェットは管理者や運用担当者が日常的に開く画面に表示される可能性があります。保存型XSSは、攻撃者がその場にいなくても、後から管理者が対象画面を開いたタイミングで発火する点が厄介です。
過去のVMware関連事案との関係
VMware製品では、仮想基盤や運用管理基盤に関わる脆弱性が継続的に公表されています。
セキュリティ対策Labでは、2026年2月にも VMware Aria Operations における複数脆弱性 CVE-2026-22719、CVE-2026-22720、CVE-2026-22721 を取り上げています。この事案でも、Aria Operations単体だけでなく、VMware Cloud FoundationやTelco Cloud系製品への影響がありました。
また、2026年5月には VMware Fusion のローカル権限昇格脆弱性 CVE-2026-41702 も公表されています。
今回のVMSA-2026-0004は保存型XSSであり、RCEや権限昇格とは性質が異なります。ただし、VMware運用基盤の管理画面に関わる脆弱性であるため、単なるWeb画面の不具合として軽視すべきではありません。
すぐに実施すべき対応
Step 1:対象製品の利用有無を確認する
まず、自社環境で以下の製品を利用しているか確認してください。
| 確認対象 | 内容 |
|---|---|
| VMware Aria Operations | 単体導入、または旧vRealize Operationsからの移行環境 |
| VMware Cloud Foundation Operations | VCF 9.x環境 |
| VMware Cloud Foundation | VCF 5.x、9.x環境 |
| VMware vSphere Foundation | vSphere Foundation 9.x環境 |
| VMware Telco Cloud Platform | 通信事業者向け仮想基盤 |
| 検証環境 | 本番より古いバージョンが残りやすい |
| DR環境 | 更新漏れが発生しやすい待機系 |
VMware系の管理製品は、本番環境だけでなく、検証環境や移行中の旧環境にも残っていることがあります。特にAria Operationsは監視・運用チームが管理していることも多く、資産台帳と実環境の差分確認が必要です。
Step 2:バージョンを確認する
管理画面、製品コンソール、またはBroadcom Support Portalで、利用中のバージョンを確認してください。
確認すべきポイントは以下です。
| 項目 | 確認内容 |
|---|---|
| 製品名 | Aria Operationsか、VCF Operationsか |
| バージョン | 8.x、9.0.x、9.1.x、VCF 5.xなど |
| 適用済みパッチ | 8.18.6、8.18.7、9.0.2.0 EP2などに到達しているか |
| 統合構成 | VMware Cloud FoundationやTelco Cloud Platformに含まれるか |
| サポート状態 | サポート対象バージョンか |
| 管理者権限 | 更新作業に必要な権限と担当者 |
Step 3:修正版へ更新する
Broadcomは回避策なしとしています。したがって、対象環境では修正版の適用が基本対応です。
更新時には以下を確認してください。
| 項目 | 内容 |
|---|---|
| バックアップ | アプライアンス、設定、クラスタ状態のバックアップ |
| スナップショット | 更新前の復旧ポイント取得 |
| HA構成 | Aria Operationsクラスタ構成の更新手順 |
| 連携確認 | vCenter、NSX、ログ基盤、通知連携への影響 |
| メンテナンス時間 | 監視停止やアラート停止の影響 |
| ロールバック | 更新失敗時の復旧手順 |
| 更新後確認 | ダッシュボード、収集、アラート、通知、権限の動作確認 |
VMware Aria Operations 8.xを利用している場合、8.18.6で一部CVEは修正されますが、3件すべてへの対応を考えると8.18.7への更新を検討してください。
Step 4:ポリシー、ビュー、テキストウィジェットの作成権限を確認する
今回の脆弱性は、ポリシー、ビュー、テキストウィジェットを作成できる権限が攻撃条件に関係します。
以下を確認してください。
| 確認項目 | 内容 |
|---|---|
| 作成権限 | ポリシー、ビュー、テキストウィジェットを作成できるユーザー |
| 管理者権限 | 不要な管理者・委託先アカウントが残っていないか |
| カスタムロール | 過剰な作成・編集権限を含んでいないか |
| 共有ダッシュボード | 多数の管理者が閲覧する画面に不審なウィジェットがないか |
| 変更履歴 | 直近で追加・変更されたビューやウィジェット |
| 退職者・異動者 | アカウントやAPI連携が残っていないか |
保存型XSSでは、作成権限を持つユーザーが攻撃の起点になります。パッチ適用後も、過剰権限の整理が必要です。
Step 5:不審なスクリプトや改ざんを確認する
すでに悪用されていないか確認するため、管理画面上のカスタムビュー、テキストウィジェット、ポリシー設定を点検してください。
確認すべき内容は以下です。
| 対象 | 確認内容 |
|---|---|
| テキストウィジェット | scriptタグ、iframe、外部URL、不審なHTML |
| カスタムビュー | 不審な埋め込みコードや外部参照 |
| ポリシー | 想定外の変更、監視無効化、通知変更 |
| ダッシュボード | 管理者が閲覧する共有画面への不審追加 |
| 通知設定 | Webhook、メール、外部連携の変更 |
| アカウント | 不審な管理者追加、権限変更 |
XSSの痕跡は、OSログよりもアプリケーション内の設定やコンテンツに残ることがあります。管理画面上の作成物を重点的に確認してください。
監視で確認すべきポイント
更新とあわせて、運用ログや監査ログを確認してください。
| 監視対象 | 見るべき内容 |
|---|---|
| ログイン履歴 | 通常と異なるIP、時間帯、ユーザーのログイン |
| 権限変更 | 管理者ロール、カスタムロールの変更 |
| ビュー変更 | 新規ビュー、既存ビューの不審な編集 |
| ウィジェット変更 | テキストウィジェットへのHTMLや外部参照の追加 |
| ポリシー変更 | 監視設定、アラート設定、通知先変更 |
| 外部通信 | 管理端末ブラウザから不審な外部ドメインへの通信 |
| 管理操作 | 通常担当者以外による設定変更 |
| 監視無効化 | アラートや収集設定の不自然な停止 |
保存型XSSでは、サーバー側の侵害だけでなく、管理者のブラウザ上で発生する挙動も重要です。プロキシログやEDRで、Aria Operations管理画面を閲覧した管理端末から不審な外部通信がないか確認してください。
情報システム部門が確認すべきポイント
VMware管理基盤の管理者権限を最小化する
VMware Cloud Foundation OperationsやAria Operationsは、仮想基盤の可視化、監視、容量管理、アラート管理を担います。
管理者権限が広く付与されていると、今回のような保存型XSSだけでなく、設定誤りや内部不正の影響も大きくなります。管理者、運用者、閲覧者、委託先の権限を分離してください。
共有ダッシュボードを定期点検する
運用管理製品では、共有ダッシュボードやテキストウィジェットが便利に使われます。一方で、HTMLや外部リンクを扱える領域はXSSの温床になり得ます。
定期的に以下を確認してください。
| 確認項目 | 内容 |
|---|---|
| 共有範囲 | 全管理者に共有されているビューやダッシュボード |
| 作成者 | 作成者が退職者や外部委託先のままではないか |
| 外部リンク | 不審なURLや短縮URLが含まれていないか |
| HTML使用 | 必要以上にHTMLやスクリプト風の記述がないか |
| 変更日 | 直近で意図せず変更されたものがないか |
運用管理製品もWebアプリとして扱う
VMwareの管理製品はインフラ製品として見られがちですが、管理画面はWebアプリケーションです。
そのため、XSS、CSRF、認可不備、セッション管理の問題が発生し得ます。管理画面をインターネットへ公開しない、管理端末を限定する、MFAを適用する、プロキシやEDRで管理端末の通信を監視する、といったWeb管理画面としての防御が必要です。
今後確認すべきこと
Broadcomのアドバイザリでは、今回の3件に対する回避策はなしとされています。今後は、対象環境の更新状況と、管理画面上の不審な変更有無を確認する必要があります。
| 確認点 | 理由 |
|---|---|
| 修正版適用状況 | 回避策がないため、更新が基本対応となるため |
| Aria Operations 8.18.7適用可否 | 3件すべてのCVE対応に関係するため |
| VCF 9.0.2.0 EP2適用状況 | VCF 9.0系の修正に関係するため |
| ポリシー・ビュー・ウィジェット変更履歴 | 保存型XSSの痕跡確認に必要なため |
| 作成権限の棚卸し | 攻撃条件となる権限を最小化するため |
| 管理端末の外部通信 | XSS発火時の外部通信を確認するため |
| Broadcomアドバイザリ更新 | 追加情報や修正対象の更新が出る可能性があるため |
参考情報・出典
- Broadcom:VMSA-2026-0004: VMware Cloud Foundation Operations updates address multiple vulnerabilities
- SecurityOnline:Broadcom Fixes Critical VMware Stored XSS Bugs
- セキュリティ対策Lab:VMware Aria Operationsに複数の脆弱性 CVE-2026-22719 / CVE-2026-22720 / CVE-2026-22721
- セキュリティ対策Lab:VMware Fusionで権限昇格が可能な脆弱性 CVE-2026-41702
関連記事
Broadcom(VMware)で複数の脆弱性(CVE-2025-41244,41245,41246)
Microsoftが偵察から仮想通貨 盗難まで行うトロイの木馬「StilachiRAT」を発見
VMware Aria Operationsに複数の脆弱性(CVE-2026-22719 / CVE-2026-22720 / CVE-2026-22721)
VMwareが深刻度が高い脆弱性に緊急パッチを公開-Cloud FoundationおよびvCenterなどに深刻なリスク(VMSA-2025-0009,VMSA-2025-0010)
VMwareがローカル権限昇格の脆弱性を修正 (CVE-2025-22231)
VMware Aria AutomationのSQLインジェクションの脆弱性を修正(CVE-2024-22280)
VMware vCenter Serverの1年前の脆弱性(CVE-2024-37079)がKEVに追加
Check Point VPNの認証回避 脆弱性-サイバー攻撃への悪用 確認(CVE-2026-50751)
北朝鮮のハッカー集団 Lazarus(ラザルス)とは?攻撃手法や日本での被害実例
