VMware VCF Operations の脆弱性 CVE-2026-41722／41723／41724 が FIX：深刻な蓄積型 XSS

Multiple VMware Stored XSS Flaw Enable Attackers to Inject Malicious Scripts

2026/06/08 gbhackers — VMware は VMware Cloud Foundation (VCF) Operations に影響を及ぼす、複数の深刻な蓄積型クロスサイト・スクリプティング (XSS) 脆弱性を公表した。これらの欠陥を突く攻撃者は、悪意のスクリプトを注入し、管理環境を侵害する可能性がある。これらの脆弱性 CVE-2026-41722／CVE-2026-41723／CVE-2026-41724 は、2026年6月8日にアドバイザリ VMSA-2026-0004 として公開されている。一連の脆弱性の CVSS v3 基本スコアは 8.0 であり、企業環境において高いリスクをもたらすことを示している。

VMware の保存型 XSS 脆弱性

アドバイザリによると、これらの脆弱性は VCF Operations の管理インターフェイスにおけるユーザー入力処理コンポーネントに存在している。不適切な入力検証および出力エンコードを突く攻撃者は、細工された悪意の JavaScript ペイロードをプラットフォーム内に保存できる。その後に、管理者を含む特権ユーザーがアクセスすると、注入されたスクリプトがブラウザ・セッションのコンテキスト内で実行される。

これにより、持続的な攻撃ベクターが形成されるため、管理ダッシュボードへのアクセスが頻繁に行われるエンタープライズ仮想化およびクラウド・オーケストレーションの環境において、蓄積型 XSS は特に危険である。

CVE-2026-41722／CVE-2026-41723／CVE-2026-41724 の悪用に成功した場合、攻撃者は認証済みセッションの乗っ取り／機密トークンの窃取／設定の改ざん／基盤インフラへのさらなる侵入や横展開を実行できる可能性がある。

vCenter やクラウド自動化ワークフローを含む、VMware エコシステム全体と統合されることが多い VCF Operations が悪用されると、ハイブリッドおよびマルチクラウド環境全体へと影響が連鎖的に波及する恐れがある。さらに、これらの欠陥が他の脆弱性やミスコンフィグと組み合わせると、権限昇格や持続的アクセスの確立へと至る可能性がある。

こうした中、集中管理プラットフォームにおける保存型 XSS により、管理インターフェイスに内在する信頼モデルに対して大きなリスクが生じると、セキュリティ研究者が指摘している。反射型 XSS とは異なり、これらの脆弱性は、ペイロードが一度埋め込まれると反復的なユーザー操作を必要とせずに悪用されるため、攻撃成功の可能性が高まる。

その結果、複数の管理者や共有運用ロールを持つ環境では、侵害されたインターフェイスにアクセスできる認可ユーザーであれば、誰もが悪意のコードをトリガーする可能性があるため、攻撃対象領域はさらに拡大する。

VMware は、これらの脆弱性に対する回避策は存在しないことを確認しており、パッチ適用が唯一の有効な対策である。影響を受ける VMware Cloud Foundation Operations のバージョンを使用している組織に対して、最新のセキュリティ更新プログラムの速やかな適用が強く推奨される。PoC コードが公開され、脅威アクターの関心が高まるにつれて、脆弱性の修正の遅れにより、重要インフラに対する悪用リスクが増大する。

ユーザー組織にとって必要なことは、VCF Operations インターフェイスへのアクセス制御を見直し、可能な範囲で厳格な入力検証メカニズムを適用することである。不正なスクリプト実行や異常なセッション動作といった、XSS 悪用を示す不審なアクティビティをログ監視することが推奨される。Web Application Firewall (WAF) のルールやブラウザ側の保護機能は、限定的な緩和策となる可能性があるが、ベンダー・パッチの代替とはならない。

VMSA-2026-0004 の公開が示すのは、重大な影響を引き起こすアクセス経路により、エンタープライズ管理プラットフォームへの標的型攻撃が続いていることである。このように、仮想化およびクラウド・オーケストレーション・ツールが、現代のインフラの中核であり続ける中、一連のコントロール・プレーンを保護することは、企業全体のセキュリティ態勢を維持する上で極めて重要である。

訳者後書：VMware に存在する、脆弱性 CVE-2026-41722／CVE-2026-41723／CVE-2026-41724 が公表されました。この問題の原因は、管理画面からユーザーが入力したデータの検証や、出力する際のエンコード処理が不適切だったことにあります。これにより、悪意のプログラムがシステム内に保存されてしまい、他の利用者がアクセスした際に自動的に実行されてしまいます。ご利用のチームは、ご注意ください。よろしければ、VMware での検索結果も、ご参照ください。