VMwareは6月7日(米国時間)、「VMSA-2023-0012 - VMware Aria Operations for Networks updates address multiple vulnerabilities」において、「Aria Operations for Networks」(旧名: vRealize Network Insight)に複数の脆弱性が存在すると伝えた。
脆弱性が存在するプロダクトおよびバージョンは次のとおり。
- VMware Aria Operations Networks 6.x
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- VMware Aria Operations Networks 6.x KB92684適用
修正対象となっている脆弱性は次のとおり。
- 【緊急】CVE-2023-20887 - 共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)v3スコア値 9.8。リモートコード実行が可能なコマンドインジェクションの脆弱性
- 【緊急】CVE-2023-20888 - CVSSv3スコア値 9.1。リモートコード実行が可能なデシリアライズ攻撃に関する脆弱性
- [重要]CVE-2023-20889 - CVSSv3スコア値 8.8。コマンド インジェクション攻撃を実行して情報漏洩を引き起こす恐れがある脆弱性
修正対象となっている3つの脆弱性のうち2つの深刻度が「緊急」(Critical)と評価されている点に注意が必要。該当する製品を使用している場合には迅速に修正パッチを適用することが望まれている。