Raksasa virtualisasi VMware telah merilis tambalan untuk empat kerentanan dalam produk vRealize Log Insight, dua di antaranya memiliki peringkat keparahan "kritis".
Pasangan kritisnya adalah CVE-2022-31703 dan CVE-2022-31704. Yang pertama adalah kerentanan traversal direktori, sedangkan yang kedua adalah kerentanan kontrol akses yang rusak. Keduanya diberi skor keparahan 9.8, dan keduanya memungkinkan pelaku ancaman untuk mengakses sumber daya yang seharusnya tidak dapat diakses.
“Aktor jahat yang tidak diautentikasi dapat menyuntikkan file ke dalam sistem operasi perangkat yang terkena dampak yang dapat mengakibatkan eksekusi kode jarak jauh,” jelas VMware.
Data sensitif berisiko
Dua kekurangan lainnya adalah CVE-2022-31710 dan CVE-2022-31711. Yang pertama adalah kerentanan deserialisasi yang memungkinkan pelaku ancaman mengutak-atik data dan meluncurkan serangan denial-of-service. Sudah diberi skor keparahan 7.5. Yang terakhir adalah bug pengungkapan informasi dengan skor 5.3 yang dapat dimanfaatkan untuk mencuri data sensitif.
Untuk melindungi dari kekurangan, pengguna disarankan untuk segera menerapkan tambalan, dan membawa endpoint mereka (terbuka di tab baru) ke versi 8.10.2. Mereka yang tidak dapat menerapkan tambalan saat ini juga dapat menerapkan solusinya, yang petunjuknya dapat ditemukan di sini (terbuka di tab baru) .
Cacat awalnya ditemukan oleh Zero Day Initiative, publikasi dikonfirmasi. Anggota program mengatakan bahwa sejauh ini, tidak ada bukti kelemahan yang disalahgunakan di alam liar.
"Kami tidak mengetahui adanya kode eksploitasi publik atau serangan aktif yang menggunakan kerentanan ini," kata Dustin Childs, kepala kesadaran ancaman di ZDI Trend Micro, kepada Pendaftaran . “Meskipun saat ini kami tidak memiliki rencana untuk menerbitkan bukti konsep untuk bug ini, penelitian kami dalam VMware dan teknologi virtualisasi lainnya terus berlanjut.”
vRealize Log Insight adalah alat manajemen log. Meskipun tidak sepopuler beberapa solusi VMware lainnya, kehadiran perusahaan di sektor publik dan swasta kemungkinan besar membuat semua produknya menjadi target yang menarik bagi penjahat dunia maya yang mencari kerentanan.
via: Pendaftaran (terbuka di tab baru)