United States Computer Emergency Readiness Team (US-CERT)は10月20日(米国時間)、「VMware Releases Security Updates for Multiple Products|CISA」において、VMwareの複数のプロダクトに複数の脆弱性が存在すると伝えた。これらの脆弱性を悪用されると、リモートから任意のコードを実行されたり、ハイパーバイザーのメモリヒープが破壊されたりするおそれがある。
脆弱性に関する情報は次のページにまとまっている。
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- VMware ESXi 7.0系
- VMware ESXi 6.7系
- VMware ESXi 6.5系
- VMware Fusion 12.x系
- VMware Fusion 11.x系
- VMware Workstation 16.x系
- VMware Workstation 15.x系
- VMware Cloud Foundation (ESXi) 4.x系
- VMware Cloud Foundation (ESXi) 3.x系
- VMware NSX-T 3.x系
- VMware NSX-T 2.5.x系
- VMware vCenter Server 7.0系
- VMware vCenter Server 6.7系
- VMware vCenter Server 6.5系
脆弱性の中でも特にVMware ESXi OpenSLPに存在するリモートコード実行の脆弱性は深刻度が緊急(Critical)に分類されており、注意が必要。Cybersecurity and Infrastructure Security Agency (CISA)はユーザーおよび管理者に対し、上記のセキュリティ情報をチェックするとともに、必要に応じてアップデートを適用することを推奨している。