CISA KEV 警告 25/10/30：XWiki／VMware Aria／VMware Tools の脆弱性を登録

U.S. CISA adds XWiki Platform, and Broadcom VMware Aria Operations and VMware Tools flaws to its Known Exploited Vulnerabilities catalog

2025/10/30 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、XWiki Platform／VMware Aria Operations／VMware Tools に存在する脆弱性を Known Exploited Vulnerabilities (KEV) カタログに登録した。カタログに登録された脆弱性は以下のとおりである：

• CVE-2025-24893 (CVSS スコア：9.8)：XWiki Platform における式評価インジェクションの脆弱性
• CVE-2025-41244 (CVSS スコア：7.8)：VMware Aria Operations／VMware Tools における不適切に定義された権限の脆弱性

汎用 Wiki フレームワークである XWiki Platform は、ランタイム・サービスをアプリケーションに対して提供するものであるが、その SolrSearch 機能に重大なセキュリティ脆弱性 CVE-2025-24893 が発見された。

この脆弱性を悪用する未認証のユーザーは、サーバ上で任意のコード実行が可能となり、XWiki インストール全体の機密性／整合性／可用性に深刻なリスクをもたらす恐れがある。具体的に言うと、SolrSearch エンドポイントへの特別に細工されたリクエストを通じて、RSS フィード生成メカニズムに Groovy コードを注入することで、この脆弱性の悪用が可能になる。

この問題は、すでに XWiki バージョン 15.10.11／16.4.1／16.5.0 RC1 で修正されており、ユーザーに対して強く推奨されるのは、速やかなアップグレードである。

KEV カタログに追加された２件目の脆弱性 CVE-2025-41244 は、VMware Aria Operations／VMware Tools におけるローカル権限昇格の脆弱性である。

具体的には、SDMP が有効化されている Aria Operations により管理され、VMware Tools がインストールされている VM に、非管理者権限を持つ悪意のローカル・ユーザーがアクセスできる場合に、この脆弱性の悪用により、同じ VM 上で権限を root に昇格させる可能性が生じる。

2025年9月末に VMware は６件の脆弱性に対応したが、そのうちの４件は深刻度の高い問題であった。その中の１件が CVE-2025-41244 であり、VMware Tools／Aria Operations を介して、ローカル・ユーザーによる root 権限への昇格を許すものである。

同社のアドバイザリには、「VMware Aria Operations／VMware Tools には、ローカル権限昇格の脆弱性 CVE-2025-41244 (CVSS v3：7.8：Important) が存在する。管理者権限を持たない悪意のローカル・ユーザーが、VMware Tools がインストールされ、SDMP が有効化された Aria Operations により管理される VM にアクセスできる場合に、この脆弱性を悪用することで同一の VM 上で root 権限に昇格する可能性がある」と記されている。

この脆弱性は、中国関連の脅威アクター UNC5174 により、2024年10月中旬以降においてゼロデイとして実環境で悪用されている。

拘束的運用指令 (BOD) 22-01：既知の脆弱性による深刻なリスクを軽減するために、FCEB 機関はカタログに掲載された脆弱性を悪用する攻撃からネットワークを保護するために、定められた期限までに脆弱性に対処しなければならない。CISA は連邦政府機関に対し、2025年11月20日までに、これらの脆弱性を修正するよう命じている。

また、専門家は民間組織に対しても、このカタログを確認し、自社インフラの脆弱性に対処することを推奨している。

XWiki と VMware の脆弱性が CISA KEV に登録されましたが、どちらの原因も、ソフトウェア設計段階での入力処理や権限管理の不備にあります。XWiki の問題では、SolrSearch 機能内で外部入力がコードとして評価されてしまう点が危険であり、細工されたリクエストを通じて任意コード実行が可能になります。その一方で、VMware の脆弱性は、ローカル・ユーザーが想定外の権限を取得できてしまう設計上の欠陥があります。ご利用のチームは、ご注意ください。よろしければ、CVE-2025-24893 で検索と、CVE-2025-41244 で検索を、ご参照ください。