無料スキャン
分析待ちCVE-2025-62627

CVE-2025-62627: Untrusted Pointer in VMware ESXi

プラットフォーム

linux

コンポーネント

vmware-esxi

NVDで見る
保存

CVE-2025-62627 は、VMware ESXi の ionic クラウドドライバーに存在する信頼されていないポインタの参照の脆弱性です。この脆弱性を悪用されると、攻撃者は特権のない仮想マシンからカーネルメモリまたは共存ゲスト仮想マシンのメモリを読み取り、機密情報の漏洩やサービス停止につながる可能性があります。影響を受けるバージョンには、VMware ESXi 8.0–8.0U3i、および VCF 5.2.3.0 または 9.0.2 リリースが含まれます。修正は現在評価中です。

影響と攻撃シナリオ

この脆弱性を悪用すると、攻撃者はホストカーネルのメモリ内容を読み取ることができ、機密情報(暗号鍵、パスワード、その他の機密データ)が漏洩する可能性があります。さらに、攻撃者は共存ゲスト仮想マシンのメモリを読み取り、他の仮想マシンを攻撃したり、機密情報を盗んだりする可能性があります。この脆弱性は、特に複数の仮想マシンが同じ ESXi ホスト上で実行されている環境において、重大なセキュリティリスクをもたらします。

悪用の状況

この脆弱性は、まだ積極的に悪用されているという報告はありません。しかし、メモリ読み取りの性質上、悪用される可能性は高く、注意が必要です。この脆弱性は、まだ KEV に登録されていません。EPSS スコアは現在評価中です。NVD および CISA の公開日は 2026年5月13日です。

影響を受けるソフトウェア

コンポーネントvmware-esxi
ベンダーAMD
最小バージョン8.0
最大バージョンESXi 8.0U3i, included in VCF 5.2.3.0 or 9.0.2 releases

弱点分類 (CWE)

CWE-822

タイムライン

  1. 公開日

緩和策と回避策

現時点では、VMware から公式な修正バージョンが提供されていません。一時的な緩和策として、ionic クラウドドライバーへのアクセスを制限することを検討してください。ファイアウォールルールを使用して、信頼できないソースからの接続をブロックし、不要なサービスを無効にすることで、攻撃対象領域を減らすことができます。また、ESXi ホストのセキュリティ設定を強化し、最新のセキュリティパッチを適用することも重要です。VMware から修正がリリースされたら、速やかに適用してください。修正適用後、システムの整合性を確認し、脆弱性が解消されていることを確認してください。

修正方法翻訳中…

Aplique las actualizaciones de seguridad proporcionadas por VMware para ESXi 8.x y 9.x que abordan esta vulnerabilidad. Consulte el boletín de seguridad de AMD (https://www.amd.com/en/resources/product-security/bulletin/AMD-SB-2001.html) para obtener más detalles y las versiones específicas corregidas.

よくある質問

CVE-2025-62627 — 信頼されていないポインタ in VMware ESXi とは何ですか?

CVE-2025-62627 は、VMware ESXi の ionic クラウドドライバーにおける信頼されていないポインタの参照の脆弱性です。攻撃者はこの脆弱性を悪用して、カーネルメモリまたは共存ゲスト VM メモリを読み取り、機密情報の漏洩やサービス停止につながる可能性があります。

CVE-2025-62627 in VMware ESXi に影響を受けますか?

VMware ESXi 8.0–ESXi 8.0U3i、および VCF 5.2.3.0 または 9.0.2 リリースを使用している場合は、影響を受ける可能性があります。

CVE-2025-62627 in VMware ESXi をどのように修正しますか?

現時点では、VMware から公式な修正バージョンが提供されていません。VMware から修正がリリースされたら、速やかに適用してください。

CVE-2025-62627 は積極的に悪用されていますか?

現時点では、積極的に悪用されているという報告はありません。

CVE-2025-62627 のための公式 VMware アドバイザリはどこで入手できますか?

VMware のセキュリティアドバイザリページで確認してください。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
scanZone.liveBadgescanZone.eyebrow

今すぐ試す — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...