Ang higanteng virtualization na VMware ay naglabas ng mga patch para sa apat na mga kahinaan sa produkto nitong vRealize Log Insight, dalawa sa mga ito ay may "kritikal" na rating ng kalubhaan.
Ang kritikal na pares ay CVE-2022-31703 at CVE-2022-31704. Ang una ay isang kahinaan sa traversal ng direktoryo, habang ang huli ay isang sirang access control na kahinaan. Parehong binigyan ng 9.8 na marka ng kalubhaan, at pareho silang nagpapahintulot sa mga aktor ng pagbabanta na ma-access ang mga mapagkukunan na kung hindi man ay hindi maa-access.
"Ang isang hindi napatotohanan, malisyosong aktor ay maaaring mag-inject ng mga file sa operating system ng isang apektadong appliance na maaaring magresulta sa remote code execution," paliwanag ng VMware.
Nanganganib ang sensitibong data
Ang iba pang dalawang depekto ay CVE-2022-31710 at CVE-2022-31711. Ang una ay isang kahinaan sa deserialization na nagpapahintulot sa mga aktor ng pagbabanta na pakialaman ang data at maglunsad ng mga pag-atake sa pagtanggi sa serbisyo. Binigyan ito ng 7.5 na marka ng kalubhaan. Ang huli ay isang 5.3-scored na bug sa pagbubunyag ng impormasyon na maaaring magamit upang magnakaw ng sensitibong data.
Upang maprotektahan laban sa mga bahid, pinapayuhan ang mga user na ilapat kaagad ang patch, at dalhin ang kanilang mga endpoint (bubukas sa bagong tab) sa bersyon 8.10.2. Ang mga hindi makapag-apply ng patch sa ngayon ay maaari ding maglapat ng workaround, kung saan makikita ang mga tagubilin dito (bubukas sa bagong tab) .
Ang mga bahid ay orihinal na natuklasan ng Zero Day Initiative, kinumpirma ng publikasyon. Sinabi ng mga miyembro ng programa na sa ngayon, walang katibayan ng mga bahid na inaabuso sa ligaw.
"Hindi namin alam ang anumang pampublikong pagsasamantalang code o aktibong pag-atake gamit ang kahinaan na ito," sabi ni Dustin Childs, pinuno ng kamalayan sa pagbabanta sa Trend Micro's ZDI, sinabi Ang rehistro . "Bagama't wala kaming kasalukuyang plano na mag-publish ng patunay ng konsepto para sa bug na ito, nagpapatuloy ang aming pananaliksik sa VMware at iba pang mga teknolohiya ng virtualization."
Ang vRealize Log Insight ay isang tool sa pamamahala ng log. Bagama't hindi ito kasing tanyag ng ilan sa iba pang solusyon ng VMware, ang presensya ng kumpanya sa parehong pampubliko at pribadong sektor ay malamang na ginagawang kaakit-akit na target ang lahat ng produkto nito para sa mga cybercriminal na naghahanap ng mga kahinaan.
Sa pamamagitan ng: Ang rehistro (bubukas sa bagong tab)