Important

VMSA-2023-0005
8.8
2023-02-21
2023-02-21 (最初のアドバイザリ)
CVE-2023-20855
VMware vRealize Orchestrator の更新は、XML External Entity (XXE) の脆弱性 (CVE-2023-20855) に対処します
1. 影響を受ける製品
 
  • VMware vRealize Orchestrator
  • VMware vRealize Automation
  • VMware Cloud Foundation (Cloud Foundation) 

 

 

2. はじめに

VMware vRealize Orchestrator に影響する XML External Entity (XXE) の脆弱性が、非公開で VMware に報告されました。影響を受ける VMware 製品でこの脆弱性に対処するための更新を利用できます。

3. XML External Entity (XXE) の脆弱性 (CVE-2023-20855)

説明

VMware vRealize Orchestrator には、XML External Entity (XXE) の脆弱性が含まれています。VMware では、この問題の深刻度について、CVSS v3 での基本値が最大で 8.8 になるため、「高レベル (Important)」の範囲にあると評価しました。

既知の攻撃ベクトル

vRealize Orchestrator への管理者以外のアクセス権を持つ悪意のあるアクターは、特別に細工された入力を使用して XML 解析の制限をバイパスでき、機密情報にアクセスしたり、権限をエスカレーションできる可能性があります。

解決方法

CVE-2023-20855 を修正するには、以下の「対策マトリックス」の「修正されたバージョン」列に記載されているパッチを適用します。

回避策

なし。

追加のドキュメント

なし。

メモ

VMware vRealize Automation 8.x は組み込みの vRealize Orchestrator を使用しているため、影響を受けます。

謝辞

VMware は、この脆弱性を報告していただいた IT.NRW に心より御礼申し上げます。

対策マトリックス

製品 バージョン 実行環境 CVE 識別番号 CVSS v3 深刻度 修正されたバージョン 回避策 追加のドキュメント
VMware vRealize Orchestrator
8.x
仮想アプライアンス
CVE-2023-20855
なし
なし
VMware vRealize Automation
8.x
任意
CVE-2023-20855
なし
なし

対策マトリックスのコンポーネントを展開する影響を受ける製品スイート:

製品 バージョン 実行環境 CVE 識別番号 CVSS v3 深刻度 修正されたバージョン 回避策 追加のドキュメント
VMware Cloud Foundation (vRealize Automation)
4.x
任意
CVE-2023-20855
important
なし
なし
4. リファレンス
5. 変更ログ

2023-02-21 VMSA-2023-0005

最初のセキュリティ アドバイザリ。 

 

6. 連絡先

E メール: security@vmware.com

PGP キー:
https://kb.vmware.com/kb/1055 

VMware セキュリティ アドバイザリ
https://www.vmware.com/jp/security/advisories 

VMware セキュリティ対策ポリシー
https://www.vmware.com/jp/support/policies/security_response.html 

VMware のライフサイクル サポート フェーズ
https://www.vmware.com/jp/support/policies/lifecycle.html 

VMware セキュリティ & コンプライアンスに関するブログ  
https://blogs.vmware.com/security 

Twitter
https://twitter.com/VMwareSRC

Copyright 2023 VMware Inc. All rights reserved.