Virtualiseringsgiganten VMware har udgivet patches til fire sårbarheder i deres vRealize Log Insight-produkt, hvoraf to har en "kritisk" sværhedsgrad.
Det kritiske par er CVE-2022-31703 og CVE-2022-31704. Førstnævnte er en kataloggennemløbssårbarhed, mens sidstnævnte er en brudt adgangskontrolsårbarhed. Begge fik en sværhedsgrad på 9.8, og begge tillader trusselsaktører at få adgang til ressourcer, som ellers skulle være utilgængelige.
"En uautoriseret, ondsindet aktør kan injicere filer i operativsystemet på en påvirket enhed, hvilket kan resultere i fjernudførelse af kode," forklarede VMware.
Følsomme data i fare
De to andre fejl er CVE-2022-31710 og CVE-2022-31711. Førstnævnte er en deserialiseringssårbarhed, der gør det muligt for trusselsaktører at manipulere med data og iværksætte denial-of-service-angreb. Den har fået en alvorlighedsgrad på 7.5. Sidstnævnte er en 5.3-scoret informationsdisclosure bug, der kan udnyttes til at stjæle følsomme data.
For at beskytte mod fejlene rådes brugerne til at anvende plasteret med det samme og medbringe deres endepunkter (åbner i ny fane) til version 8.10.2. Dem, der ikke kan anvende patchen lige nu, kan også anvende løsningen, som instruktionerne kan findes til link. (åbner i ny fane) .
Fejlene blev oprindeligt opdaget af Zero Day Initiative, bekræftede publikationen. Programmets medlemmer sagde, at indtil videre er der ingen beviser for, at fejlene er blevet misbrugt i naturen.
"Vi er ikke opmærksomme på nogen offentlig udnyttelseskode eller aktive angreb, der bruger denne sårbarhed," fortalte Dustin Childs, leder af trusselsbevidsthed hos Trend Micros ZDI, Registret . "Selvom vi ikke har nogen aktuelle planer om at offentliggøre proof of concept for denne fejl, fortsætter vores forskning i VMware og andre virtualiseringsteknologier."
vRealize Log Insight er et logstyringsværktøj. Selvom det ikke er så populært som nogle af VMwares andre løsninger, gør virksomhedens tilstedeværelse i både den offentlige og private sektor højst sandsynligt alle dets produkter til et attraktivt mål for cyberkriminelle, der leder efter sårbarheder.
via: Registret (åbner i ny fane)