【要点】
◎VMware ESXiなどに深刻な脆弱性3件が判明し、すでに悪用も確認。Broadcomは修正版を公開し、早急な更新を求めている (Security NEXT)
【脆弱性内容】
| 公開日 |
登録日 |
CVE番号 |
NVD |
ベンダー |
CVSS v3 |
CWE |
脆弱性 |
KEV |
備考 |
|---|---|---|---|---|---|---|---|---|---|
| 2025/03/04 | 2025/01/02 | CVE-2025-22224 | NVD | VMware | 8.2(NVD) 9.3(VMware) |
CWE-367 | Time-of-check Time-of-use (TOCTOU) 競合状態 | 2025/03/04 | VMware ESXi, and Workstation |
| 2025/03/04 | 2025/01/02 | CVE-2025-22225 | NVD | VMware | 8.2(VMware) |
CWE-787 CWE-123 |
境界外書き込み 任意の場所に任意の値を書き込み可能な状態 |
2025/03/04 | VMware ESXi |
| 2025/03/04 | 2025/01/02 | CVE-2025-22226 | NVD | VMware | 6.5(NVD) 7.1(VMware) |
CWE-125 | CWE-125 | 2025/03/04 | VMware ESXi, Workstation, and Fusion |
【要約】
Broadcomは、VMware ESXi、Workstation、Fusionに影響する3件の深刻な脆弱性(CVE-2025-22224、22225、22226)を公表した。いずれも実環境での悪用が確認され、重要度はクリティカルと評価されている。これらはTOCTOU欠陥やサンドボックス回避、メモリ情報の不正取得を可能にし、攻撃者が仮想マシンからの脱出や任意コード実行を行えるおそれがある。BroadcomはESXi向け修正版やWorkstation、Fusionの最新版を提供しており、影響を受ける環境では速やかなアップデート適用が強く推奨されている。
【ニュース】
◆「VMware ESXi」「Workstation」「Fusion」に脆弱性 - すでに悪用も (Security NEXT, 2025/03/05)
https://www.security-next.com/167824
