1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. Windows版のVMware Tools に認証バイパスの脆弱性、対象者はアップデートを(CVE-2025-22230)

Windows版のVMware Tools に認証バイパスの脆弱性、対象者はアップデートを(CVE-2025-22230)

セキュリティニュース

投稿日時: 更新日時:

Windows版のVMware Tools に認証バイパスの脆弱性、対象者はアップデートを(CVE-2025-22230)

Broadcom(ブロードコム)のWindows版 VMware Tools に認証バイパスの脆弱性(CVE-2025-22230)が確認されました。パッチはリリース済みなので対象者はアップデートする事をお勧めします。

脆弱性の影響があるバージョン

以下のWindows版で影響が発生します。macOSやLinuxに影響はありません。

  • 12.x.x 系列

  • 11.x.x 系列

特に、社内の仮想デスクトップ(VDI)や開発環境において、VMware Tools を未更新のまま運用しているケースでは、内部不正やマルウェアによる侵害リスクが高まるため、早急な対応が必要です。

脆弱性の対策バージョン

12.5.1以上

脆弱性 CVE-2025-22230の概要

アドバイザリーの記載は端的で「VMware Tools for Windows には、不適切なアクセス制御による認証バイパスの脆弱性が含まれています 。VMware は、この問題の重大度を、 最大 CVSSv3 ベース スコア 7.8で重要度範囲に分類しました。」という記載のみです。

本脆弱性は Broadcom によって「重要(Important)」と評価されており、CVSS v3 ベーススコアは 7.8 とされています。これは、「悪用難易度が低く、システム制御の奪取につながるリスクがある」ことを意味します。

現在のところ、既知の回避策(ワークアラウンド)は存在しておらず、唯一の対処法は公式のパッチを適用することとされています。

関連記事

Default ThumbnailVMwareのvCenterで重大な脆弱性のパッチがリリース 今すぐ適用を(CVE-2024-37079、CVE-2024-37080、CVE-2024-37081) VMWare Fusionで危険度の高い脆弱性が修正(CVE-2024-38811)VMWare Fusionで危険度の高い脆弱性が修正(CVE-2024-38811) VMware Aria AutomationのSQLインジェクションの脆弱性を修正(CVE-2024-22280)VMware Aria AutomationのSQLインジェクションの脆弱性を修正(CVE-2024-22280) NEC「Aterm」シリーズのWifi ルーターで複数の脆弱性 不正アクセスで権限乗っ取りの可能性もNEC「Aterm」シリーズのルーターで複数の脆弱性 不正アクセスで権限乗っ取りの可能性も ImageMagick、Linuxカーネル、SonicWallの既知脆弱性が攻撃の標的にImageMagick、Linuxカーネル、SonicWallの既知脆弱性が攻撃の標的に Microsoft365 のフィッシング対策機能はCSSで回避可能Microsoft365 のフィッシング対策機能はCSSで回避可能 VMware ESXiの脆弱性をランサムウェア 攻撃グループが悪用(CVE-2024-37085)VMware ESXiの脆弱性をランサムウェア 攻撃グループが悪用(CVE-2024-37085) Default ThumbnailVeeam Recovery Orchestratorで重大な脆弱性(CVE-2024-29855) Vimのtar.vimプラグインにリスクの高い脆弱性(CVE-2025-27423)Vimのtar.vimプラグインにリスクの高い脆弱性(CVE-2025-27423)