出典: Security NEXT – https://www.security-next.com/176536
米当局、「XWiki Platform」「Aria Operations」脆弱性を悪用リストに追加
米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、2025年10月30日に「悪用が確認された脆弱性カタログ(KEV)」へ新たに2件の重大な脆弱性を追加しました。対象はWikiシステム「XWiki Platform」とBroadcomの「VMware Aria Operations」関連製品です。
主要なポイント
- CVE-2025-24893(XWiki Platform): Wikiシステムの「evalインジェクション」脆弱性で、認証なしに任意コード実行が可能。CVSSスコアは9.8のクリティカル評価。
- CVE-2025-41244(VMware Aria Operations): SDMP機能が有効な環境でローカルユーザーがroot権限を取得可能な脆弱性。Broadcomは9月に修正パッチをリリース済み。
- 悪用の実態: XWikiの脆弱性は概念実証コードも公開されており、VMware関連脆弱性も悪用事例が疑われているため、実際の攻撃リスクが高い。
- CISAの対応: 米行政機関に対し、指定期間内での脆弱性対策を強く要請し、広範囲な悪用の可能性に警戒を促している。
技術的な詳細や背景情報
evalインジェクション脆弱性(CVE-2025-24893)は、XWiki Platformの「SolrSearch」機能において、ユーザーからの入力を適切に検証せずに評価(eval)することで発生します。これにより、認証を経ずに任意のコードが実行され、システムの完全制御が可能となります。CVSSv3.1のベーススコアは9.8と極めて高く、攻撃の容易さと影響の深刻さを示しています。
VMware Aria Operationsの脆弱性(CVE-2025-41244)は、SDMP(Secure Data Management Protocol)機能が有効な仮想マシン環境で、ローカルユーザーがroot権限を取得できる問題です。root権限はシステム上で最も強力な権限であり、これを奪取されると完全な制御を許してしまいます。Broadcomは既に修正パッチを公開していますが、悪用の可能性があるため注意が必要です。
影響や重要性
これらの脆弱性は、企業や組織の重要なITインフラに深刻な影響を及ぼす可能性があります。特にXWiki Platformは多くの組織で情報共有やドキュメント管理に利用されており、認証なしでのコード実行は情報漏洩やシステム破壊につながります。
また、VMware Aria Operationsは仮想環境の管理に用いられるため、ここでの権限昇格は仮想マシン全体の制御奪取を意味し、広範囲な被害を引き起こす恐れがあります。CISAの警告は、これら脆弱性が既に悪用されているか、今後悪用されるリスクが高いことを示しています。
まとめ
米CISAが新たに悪用リストに追加した「XWiki Platform」と「VMware Aria Operations」の脆弱性は、いずれも高リスクで実際の攻撃が懸念されています。組織は速やかに提供されている修正パッチを適用し、脆弱性管理を徹底することが求められます。特に認証不要で任意コード実行が可能な脆弱性は、早急な対応が被害防止の鍵となります。
セキュリティ対策の基本として、常に最新の情報を収集し、ソフトウェアのアップデートを怠らないことが重要です。今回の事例は、脆弱性の早期発見と迅速な対応の必要性を改めて示しています。
