VMwareは11月14日(米国時間)、「VMSA-2023-0026 - VMware Cloud Director Appliance contains an authentication bypass vulnerability (CVE-2023-34060)」においてVMware Cloud Director Applianceに緊急の脆弱性が存在するとして、注意を呼び掛けた。該当する製品を使用している場合は、アップデートを適用することが推奨されている。
報告された脆弱性はVMware Cloud Director Applianceにおける認証バイパスで、古いバージョンのアプライアンスからアップグレードした場合に発生するとされている。条件が該当した場合はssh経由またはアプライアンス管理コンソール経由でのログイン時にログイン制限を回避可能とされており注意が必要。この脆弱性の深刻度は共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)v3で9.8と分析されており、緊急(Critical)の脆弱性とされている。
脆弱性の影響を受けるとされるプロダクトおよびバージョンは次のとおり。
- VMware Cloud Director Appliance 10.5 (10.4.x以下のバージョンからアップグレードした10.5に限る) (Photon OS版)
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- VMware Cloud Director Appliance 10.5 (10.4.x以下のバージョンからアップグレードした10.5に限る) KB95534 (Photon OS版)
問題を一時的に回避する方法は提供されていない。また、10.5を新規インストールした場合にも該当しないほか、10.4.x以下のバージョンを使っている場合にもこの問題は発生しないとされている。該当する製品を使用している場合には情報を確認し迅速に対応することが望まれている。