博通旗下的VMware上周發出安全公告,修補3項網路虛擬化和安全平臺NSX資安漏洞。
這三項漏洞分別為CVE-2025-22243、CVE-2025-22244和CVE-2025-22245,屬於「重要」(important)漏洞。影響產品包括VMware NSX、VMware Cloud Foundation和VMware Telco Cloud Platform。
其中CVE-2025-22243為NSX Manager UI中的儲存型跨站腳本攻擊(Stored cross-site scripting)漏洞,源自對輸入驗證不當。具有建立或修改網站設定的攻擊者可注入惡意程式碼,在他人檢視網路設定時執行。CVSS v3風險值為7.5。
CVE-2025-22244亦為儲存型跨站腳本攻擊(Stored cross-site scripting)漏洞,本漏洞位於閘道防火牆。具備過濾URL的防火牆回應頁建立和修改權限的攻擊者,可注入惡意程式碼,並在另一名用戶試圖存取網頁時執行。本漏洞風險值為6.9。
CVE-2025-22245也是類似的儲存型跨站腳本攻擊漏洞,影響路由器傳輸埠。攻擊者若具備新增或修改路由器傳輸埠的權限,即可注入惡意程式碼,在他人存取傳輸埠時執行。漏洞CVSS 風險值為5.9。
受影響產品包括VMware NSX 4.2.x、4.2.1.x、4.1.x、4.0.x、3.2.x;VMware Cloud Foundation 5.2.x、5.1.x、5.0.x、4.5.x;VMware Telco Cloud Infrastructure 5.x、4.x、3.x、2.x。VMware部門已經釋出解決漏洞的更新軟體。
CVE-2025-22243為研究人員Dawid Jonienc通報,CVE-2025-22244及CVE-2025-22245則為波蘭ING Hubs研究人員Łukasz Rupala通報。
熱門新聞
2025-06-16
2025-06-16
2025-06-13
2025-06-13
2025-06-13
2025-06-16
