VMware retter fire alvorlige vRealize-sårbarheder

Virtualiseringsgiganten VMware har udgivet patches til fire sårbarheder i deres vRealize Log Insight-produkt, hvoraf to har en "kritisk" sværhedsgrad.

Det kritiske par er CVE-2022-31703 og CVE-2022-31704. Førstnævnte er en kataloggennemløbssårbarhed, mens sidstnævnte er en brudt adgangskontrolsårbarhed. Begge fik en sværhedsgrad på 9.8, og begge tillader trusselsaktører at få adgang til ressourcer, som ellers skulle være utilgængelige.

"En uautoriseret, ondsindet aktør kan injicere filer i operativsystemet på en påvirket enhed, hvilket kan resultere i fjernudførelse af kode," forklarede VMware.

Følsomme data i fare

De to andre fejl er CVE-2022-31710 og CVE-2022-31711. Førstnævnte er en deserialiseringssårbarhed, der gør det muligt for trusselsaktører at manipulere med data og iværksætte denial-of-service-angreb. Den har fået en alvorlighedsgrad på 7.5. Sidstnævnte er en 5.3-scoret informationsdisclosure bug, der kan udnyttes til at stjæle følsomme data.

For at beskytte mod fejlene rådes brugerne til at anvende plasteret med det samme og medbringe deres endepunkter (åbner i ny fane) til version 8.10.2. Dem, der ikke kan anvende patchen lige nu, kan også anvende løsningen, som instruktionerne kan findes til link. (åbner i ny fane).

Fejlene blev oprindeligt opdaget af Zero Day Initiative, bekræftede publikationen. Programmets medlemmer sagde, at indtil videre er der ingen beviser for, at fejlene er blevet misbrugt i naturen.

"Vi er ikke opmærksomme på nogen offentlig udnyttelseskode eller aktive angreb, der bruger denne sårbarhed," fortalte Dustin Childs, leder af trusselsbevidsthed hos Trend Micros ZDI, Registret. "Selvom vi ikke har nogen aktuelle planer om at offentliggøre proof of concept for denne fejl, fortsætter vores forskning i VMware og andre virtualiseringsteknologier."

vRealize Log Insight er et logstyringsværktøj. Selvom det ikke er så populært som nogle af VMwares andre løsninger, gør virksomhedens tilstedeværelse i både den offentlige og private sektor højst sandsynligt alle dets produkter til et attraktivt mål for cyberkriminelle, der leder efter sårbarheder.

via: Registret (åbner i ny fane)

Kilde

Forrige indlæg

Næste post

VMware retter fire alvorlige vRealize-sårbarheder

Must-have software i 2024

Topkategorier

Seneste anmeldelser

Samsung Galaxy Z Flip 5 Teaser-video, forud for Galaxy Unpacked Event, viser nyt hængseldesign, farvemuligheder

Twitter begrænser antallet af DM'er, ubekræftede brugere kan sende

Min yndlings Android-telefon kan gøre ting, som min iPhone 14 Pro Max ikke kan

ChatGPT til Android lanceres i næste uge, og du kan forhåndsregistrere dig nu

Xiaomi Smart TV 32A, Smart TV 40A, Smart TV 43A med Google TV, 20W højttalere lanceret i Indien: : Pris, specifikationer

Dette spiselige batteri kan drive verden af diagnostik og bæredygtig energi

VMware retter fire alvorlige vRealize-sårbarheder

Must-have software i 2024

Topkategorier

Seneste anmeldelser

Samsung Galaxy Z Flip 5 Teaser-video, forud for Galaxy Unpacked Event, viser nyt hængseldesign, farvemuligheder

Twitter begrænser antallet af DM'er, ubekræftede brugere kan sende

Min yndlings Android-telefon kan gøre ting, som min iPhone 14 Pro Max ikke kan

ChatGPT til Android lanceres i næste uge, og du kan forhåndsregistrere dig nu

Xiaomi Smart TV 32A, Smart TV 40A, Smart TV 43A med Google TV, 20W højttalere lanceret i Indien: : Pris, specifikationer

Dette spiselige batteri kan drive verden af ​​diagnostik og bæredygtig energi

Dette spiselige batteri kan drive verden af diagnostik og bæredygtig energi