United States Computer Emergency Readiness Team (US-CERT)は5月11日(米国時間)、「VMware Publishes Workarounds for Vulnerabilities in vRealize Operations Manager|CISA」において、VMware vRealize Operations Manager (vROps)に脆弱性が存在すると伝えた。
認証バイパス(CVE-2020-11651)およびディレクトリトラバーサル(CVE-2020-11652)の脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性があるとされており注意が必要。脆弱性に関する情報は次のページにまとまっている。
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- VMware vRealize Operations Manager (vROps) version 8.1.0
- VMware vRealize Operations Manager (vROps) version 8.0.x
- VMware vRealize Operations Manager (vROps) version 7.5.0
脆弱性は深刻度が緊急(Critical)に分類されており注意が必要。VMwareはCVE-2020-11651およびCVE-2020-11652を修正するためのアップデートをまもなくリリースするとしており、回避策を公開している。