چند آسیب‌پذیری‌ در VMware vRealize Log Insight

چند آسیب‌پذیری‌ در VMware vRealize Log Insight

تاریخ ایجاد

 مقدمه
چندین آسیب‌پذیری در VMware vRealize Log Insight گزارش شده است. Vmware بروزرسانی‌هایی را جهت رفع این آسیب‌پذیری‌ها منتشر کرده است.
جزئیات آسیب‌پذیری
اولین آسیب‌پذیری با شناسه CVE-2022-31706 و شدت بحرانی با CVSSv3 9.8، یک آسیب‌پذیری پیمایش مسیر یا Directory Traversal است. دومین آسیب‌پذیری با شناسه CVE-2022-31704 و شدت بحرانی با CVSSv3 9.8، یک آسیب‌پذیری نقض کنترل دسترسی یا broken access control است. در این آسیب‌پذیری‌ها یک مهاجم احراز هویت نشده می‌تواند فایل‌ها را به سیستم‌عامل یک دستگاه آسیب‌دیده تزریق کند که منجر به اجرای کد از راه دور شود.
آسیب‌پذیری بعدی که شناسه CVE-2022-31710 با شدت بالا و CVSSv3 7.5 به آن اختصاص داده شده است، یک نقص deserialization است. در این آسیب‌پذیری یک مهاجم احراز هویت نشده می‌تواند از راه دور داده‌های مخربی را که می‌تواند منجر به حمله انکار سرویس شود، به برنامه تزریق کند.
آخرین نقص با شناسه CVE-2022-31711 یک آسیب‌پذیری افشای اطلاعات یا Information Disclosure است که با شدت بالا و CVSSv3 5.3 شناخته می‌شود که به موجب آن مهاجم می‌تواند از راه دور اطلاعات حساس session و برنامه را بدون احراز هویت جمع‌آوری کند. 
محصولات تحت تأثیر
VMware vRealize Log Insight تحت تاثیر این آسیب‌پذیری قرار دارد.

عکس

 توصیه‌های امنیتی
به کاربران توصیه می‌شود در اسرع وقت نسخه 8.10.2 VMware vRealize Log Insight را دانلود و نصب کنند.
منابع خبر