製品・ソフトウェアに関する情報

JVN脆弱性詳細

VMwareのVMware Aria Operations等の複数製品におけるクロスサイトスクリプティングの脆弱性

タイトル	VMwareのVMware Aria Operations等の複数製品におけるクロスサイトスクリプティングの脆弱性
概要	VMware Cloud Foundation Operationsには複数の格納型クロスサイトスクリプティングの脆弱性が含まれています。ポリシー、ビュー、またはテキストウィジェットを作成する権限を持つ悪意のある攻撃者は、スクリプトを注入することでVMware Cloud Foundation Operations内で管理者権限の操作を実行できる可能性があります。
想定される影響	・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。・当該ソフトウェアは停止しません。
対策	ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年6月8日0:00
登録日	2026年6月16日13:38
最終更新日	2026年6月16日13:38

影響を受けるシステム

VMware

VMware Aria Operations 8.0 以上 8.18.7 未満

VMware Cloud Foundation 5.0 以上 8.18.7 未満

VMware Telco Cloud Platform 5.0 以上 8.18.7 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-41724	https://www.cve.org/CVERecord?id=CVE-2026-41724
National Vulnerability Database (NVD)
2	CVE-2026-41724	https://nvd.nist.gov/vuln/detail/CVE-2026-41724

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	名前	URL
Support Portal
1	Support Content Notification - Support Portal - Broadcom support portal	https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/37513

変更履歴

No	変更内容	変更日
1	[2026年06月16日] 掲載	2026年6月16日13:38

NVD脆弱性情報

CVE-2026-41724

概要	VMware Cloud Foundation Operations contains multiple stored cross-site scripting vulnerabilities.A malicious actor with privileges to create policies, views or text-widgets may be able to inject scripts to perform administrative actions in VMware Cloud Foundation Operations.
公表日	2026年6月8日18:16
登録日	2026年6月9日4:14
最終更新日	2026年6月16日3:50

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:vmware:aria_operations::::::::	8.0			8.18.7
cpe:2.3:a:vmware:cloud_foundation::::::::	5.0			8.18.7
cpe:2.3:a:vmware:telco_cloud_platform::::::::	5.0			8.18.7