博通旗下的VMware上周发出安全公告,修补3项网路虚拟化和安全平台NSX资安漏洞。
这三项漏洞分别为CVE-2025-22243、CVE-2025-22244和CVE-2025-22245,属于「重要」(important)漏洞。影响产品包括VMware NSX、VMware Cloud Foundation和VMware Telco Cloud Platform。
其中CVE-2025-22243为NSX Manager UI中的储存型跨站脚本攻击(Stored cross-site scripting)漏洞,源自对输入验证不当。具有建立或修改网站设定的攻击者可注入恶意程式码,在他人检视网路设定时执行。CVSS v3风险值为7.5。
CVE-2025-22244亦为储存型跨站脚本攻击(Stored cross-site scripting)漏洞,本漏洞位于闸道防火墙。具备过滤URL的防火墙回应页建立和修改权限的攻击者,可注入恶意程式码,并在另一名用户试图存取网页时执行。本漏洞风险值为6.9。
CVE-2025-22245也是类似的储存型跨站脚本攻击漏洞,影响路由器传输埠。攻击者若具备新增或修改路由器传输埠的权限,即可注入恶意程式码,在他人存取传输埠时执行。漏洞CVSS 风险值为5.9。
受影响产品包括VMWare NSX 4.2.x、4.2.1.x、4.1.x、4.0.x、3.2.x;VMware Cloud Foundation 5.2.x、5.1.x、5.0.x、4.5.x;VMware Telco Cloud Infrastructure 5.x、4.x、3.x、2.x。VMware部门已经释出解决漏洞的更新软体。
CVE-2025-22243为研究人员Dawid Jonienc通报,CVE-2025-22244及CVE-2025-22245则为波兰ING Hubs研究人员Łukasz Rupala通报。