概要
Broadcom は、2026年2月24日にセキュリティアドバイザリー VMSA-2026-0001 を発表し、VMware Aria Operations の3つの脆弱性を公開しました。これらの脆弱性により、攻撃者は任意のコマンドをリモートで実行することが可能となります。
脆弱性の詳細
Broadcom は、影響を受けた製品と修正版についても情報を提供しています:
- CVE-2026-22719: コマンドインジェクション脆弱性(CVSSv3スコア:8.1)。サポートを必要とする製品移行中に、認証なしで任意のコマンドを実行しリモートコード実行 (RCE) を可能にします。
- CVE-2026-22720: ストレージ型クロスサイトスクリプティング(XSS)脆弱性(CVSSv3スコア:8.0)。カスタムベンチマークを作成できる権限を持つ攻撃者が、不正なスクリプトを注入し、非公開の管理操作を実行できます。
- CVE-2026-22721: プライバージリースケーション脆弱性(CVSSv3スコア:6.2)。vCenter で既存の権限を持つ攻撃者が、VMware Aria Operations の完全な管理者アクセスを獲得できます。
影響を受けた製品と修正版
Broadcom は、以下の製品が影響を受けていることを確認しています:
- VMware Aria Operations: 8.x バージョンから 8.18.6 へのアップデートが必要。
- VMware Cloud Foundation (VCF Operations): 9.x.x.x バージョンから 9.0.2.0 へのアップデートが必要。
- VMware Telco Cloud Platform: 5.x, 4.x の KB428241 が利用可能。
- VMware Telco Cloud Infrastructure: 3.x, 2.x の KB428241 が利用可能。
対策と推奨事項
Broadcom は、管理者に対して直ちにパッチを適用することを強く推奨しています。特にコマンドインジェクション脆弱性(CVE-2026-22719)は、認証なしでリモートから悪用される可能性があるため、最も高いリスクがあります。
結論
VMware Aria Operations を使用している組織は、すぐに修正版へのアップデートを優先すべきです。また、直ちにパッチを適用できない環境では、KB430349 で提供されている一時的な対策を使用することも検討してください。