VMware vCenter Serverの脆弱性、1年経っても修正されず

Security Affairsは10月12日(現地時間)、「VMware has yet to fix CVE-2021-22048 flaw in vCenter Server disclosed one year agoSecurity Affairs」において、1年前に公開された「VMware vCenter Server」の脆弱性がまだ修正されていないと伝えた。「CVE-2021-22048」として追跡されている脆弱性がまだ対処されていないとして、注意を呼び掛けている。

2021年11月に公開されたこの脆弱性は、深刻度がCVSSv3スコア値8.8で重要(High)と位置づけられている。vCenter Serverの統合Windows認証(IWA: Integrated Windows Authentication)メカニズムに脆弱性が存在するとされており、非管理アクセス権を持つ攻撃者によって悪用されると、より高い権限のグループに昇格される危険性があるという(参考「VMware vCenter Serverに特権昇格の脆弱性、管理者権限を奪取される恐れ | TECH+（テックプラス）」)。