مقدمه
اخیرا دو آسیبپذیری در محصول vRealize Network Insight (vRNI) شرکت Vmware افشا شده است. وصلهها و بروزرسانیها برای این آسیبپذیریها در دسترس کاربران قرار گرفته است.
جزئیات آسیبپذیری
اولین آسیبپذیری با شناسه CVE-2022-31702 و شدت بحرانی با CVSSv3 9.8 یک نقص تزریق کد در vRNI REST API است. در این آسیبپذیری یک مهاجم با دسترسی شبکه به vRNI REST API میتواند دستورات دلخواه خود را را بدون احراز هویت اجرا کند.
آسیبپذیری دوم با شناسه CVE-2022-31703 و شدت بالا با CVSSv3 7.5 یک نقص directory traversal در vRNI REST API است. در این آسیبپذیری یک مهاجم با دسترسی شبکه به vRNI REST API میتواند فایلهای دلخواه را از سرور بخواند.
محصولات تحت تأثیر
VMware vRealize Network Insight از نسخه 6.2 تا نسخه 6.8.0 تحت تاثیر این آسیبپذیریها قرار دارند.
توصیههای امنیتی
وصلههای امنیتی برای آسیبپذیریهای فوق منتشر شده است که جزئیات آن ها در جدول زیر آورده شده است:
منبع
https://www.vmware.com/security/advisories/VMSA-2022-0031.html
- 374