1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. VMwareが深刻度が高い脆弱性に緊急パッチを公開-Cloud FoundationおよびvCenterなどに深刻なリスク(VMSA-2025-0009,VMSA-2025-0010)

VMwareが深刻度が高い脆弱性に緊急パッチを公開-Cloud FoundationおよびvCenterなどに深刻なリスク(VMSA-2025-0009,VMSA-2025-0010)

セキュリティニュース

投稿日時: 更新日時:

VMwareが深刻度が高い脆弱性に緊急パッチを公開-Cloud FoundationおよびvCenterなどに深刻なリスク(VMSA-2025-0009,VMSA-2025-0010)

VMware(Broadcom傘下)は2025年5月20日、同社の基盤ソフトウェア群に影響する2件のセキュリティアドバイザリ「VMSA-2025-0009」と「VMSA-2025-0010」を発表し、緊急性の高い複数の脆弱性について修正パッチを提供しました。

今回の修正対象には、VMware Cloud Foundation、ESXi、vCenter Server、Workstation、Fusion などが含まれます。これらの脆弱性に対して一時的な回避策(ワークアラウンド)はなく、即時のアップデートが強く推奨されています。

これらの脆弱性は、国家機関(NATOやNSA)を含む複数のセキュリティ機関や研究者によって報告されたものであり、VMware製品への標的型攻撃となる可能性があることを改めて示すものです。企業のIT担当者は、自組織が使用しているバージョンの確認と、影響を受けるか否かの精査を速やかに行い、リスク低減に向けた行動を起こす必要があります。

VMware Cloud Foundationに3件の深刻な脆弱性(VMSA-2025-0009)

VMware Cloud Foundationでは、NATOのサイバーセキュリティセンターが報告した3つの脆弱性が確認されており、CVSSスコアは最大8.2。報告された脆弱性は以下の通りです。

  • CVE-2025-41229(CVSS 8.2)
    ディレクトリトラバーサルの脆弱性。悪意ある攻撃者がポート443を通じて内部サービスへの不正アクセスを実行できる可能性があります。

  • CVE-2025-41230(CVSS 7.5)
    情報漏えいの脆弱性。攻撃者がセンシティブ情報へアクセスする可能性があるとされています。

  • CVE-2025-41231(CVSS 7.3)
    認可不備による脆弱性。正当な認証を経ずに制限された操作を実行されるリスクがあります。

これらはいずれもVMware Cloud Foundation 5.2.1.2 もしくは 4.5.x向けパッチ(KB398008) にて修正されています。

vCenter ServerおよびESXiなどに4件の脆弱性(VMSA-2025-0010)

VMwareの別のアドバイザリでは、vCenter Server、ESXi、Workstation、Fusionに関する以下4件の脆弱性が報告されています。

  • CVE-2025-41225(CVSS 8.8)
    vCenter Serverに存在する認証済みのコマンド実行脆弱性。特権を持つ攻撃者がアラームのスクリプト操作を通じて任意コマンドを実行できる可能性があります。

  • CVE-2025-41226(CVSS 6.8)
    ESXiのゲスト操作に関連するDoS(サービス拒否)脆弱性。vCenterまたはESXiに認証済みの攻撃者が、ゲストVMのクラッシュを誘発可能。

  • CVE-2025-41227(CVSS 5.5)
    ESXi、Workstation、Fusionにおけるメモリ枯渇によるDoSの脆弱性。

  • CVE-2025-41228(CVSS 4.3)
    ESXiおよびvCenter Serverのログインページに存在する反射型XSS。セッションハイジャックやフィッシング誘導の危険があります。

パッチ対象の主なバージョン:

  • vCenter Server:8.0 U3e、7.0 U3v

  • ESXi:8.0 ESXi80U3se-24659227、7.0 ESXi70U3sv-24723868

  • Workstation:17.6.3

  • Fusion:13.6.3

特に、vCenterのCVE-2025-41225 は深刻度が高く、企業インフラの中枢に位置する管理プレーンに直接的な影響を及ぼすため、早急なアップデートが求められます。

共通点と対応のポイント

  • すべての脆弱性に対してワークアラウンド(緩和策)は存在せず、修正済みバージョンへのアップデートのみが有効な対策です。

  • 現時点では、これらの脆弱性を悪用した実際の攻撃(in-the-wild)は確認されていませんが、特にCVE-2025-41225はPoC(実証コード)が存在するとの報告もあり、今後の悪用が懸念されます。

  • 影響を受ける製品は企業の基幹インフラに広く利用されているため、影響範囲の特定とパッチ適用の優先順位付けが重要です。

今後の対応と推奨アクション

VMwareはこれらの脆弱性に関して、以下の対応を推奨しています。

  • 該当製品バージョンを使用している場合、必ず最新の修正済みバージョンへアップグレードすること。

  • ESXiやvCenterなど、ネットワークアクセス可能な管理インターフェースへのアクセス制御を見直し、最小限の公開に留める。

  • セキュリティ情報を継続的にウォッチし、今後のアドバイザリや新たな攻撃手法への対応を準備する。

関連記事

VMware ESXiの脆弱性をランサムウェア 攻撃グループが悪用(CVE-2024-37085)VMware ESXiの脆弱性をランサムウェア 攻撃グループが悪用(CVE-2024-37085) Default ThumbnailVMwareのvCenterで重大な脆弱性のパッチがリリース 今すぐ適用を(CVE-2024-37079、CVE-2024-37080、CVE-2024-37081) WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063)WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063) Oracle Cloudへの不正アクセス、Oracle Fusion Middlewareの脆弱性を悪用か(CVE-2021-35587)Oracle Cloudへの不正アクセスと情報漏洩 疑惑、Oracle Fusion Middlewareの脆弱性を悪用か(CVE-2021-35587) VMwareがローカル権限昇格の脆弱性を修正 (CVE-2025-22231)VMwareがローカル権限昇格の脆弱性を修正 (CVE-2025-22231) VMware Aria AutomationのSQLインジェクションの脆弱性を修正(CVE-2024-22280)VMware Aria AutomationのSQLインジェクションの脆弱性を修正(CVE-2024-22280) VMWare Fusionで危険度の高い脆弱性が修正(CVE-2024-38811)VMWare Fusionで危険度の高い脆弱性が修正(CVE-2024-38811) NEC「Aterm」シリーズのWifi ルーターで複数の脆弱性 不正アクセスで権限乗っ取りの可能性もNEC「Aterm」シリーズのルーターで複数の脆弱性 不正アクセスで権限乗っ取りの可能性も MongoDB、複数のDoS・認証バイパス 脆弱性の修正パッチを公開MongoDB、複数のDoS・認証バイパス 脆弱性の修正パッチを公開