مقدمه
چندین آسیبپذیری در VMware vRealize Log Insight گزارش شده است. Vmware بروزرسانیهایی را جهت رفع این آسیبپذیریها منتشر کرده است.
جزئیات آسیبپذیری
اولین آسیبپذیری با شناسه CVE-2022-31706 و شدت بحرانی با CVSSv3 9.8، یک آسیبپذیری پیمایش مسیر یا Directory Traversal است. دومین آسیبپذیری با شناسه CVE-2022-31704 و شدت بحرانی با CVSSv3 9.8، یک آسیبپذیری نقض کنترل دسترسی یا broken access control است. در این آسیبپذیریها یک مهاجم احراز هویت نشده میتواند فایلها را به سیستمعامل یک دستگاه آسیبدیده تزریق کند که منجر به اجرای کد از راه دور شود.
آسیبپذیری بعدی که شناسه CVE-2022-31710 با شدت بالا و CVSSv3 7.5 به آن اختصاص داده شده است، یک نقص deserialization است. در این آسیبپذیری یک مهاجم احراز هویت نشده میتواند از راه دور دادههای مخربی را که میتواند منجر به حمله انکار سرویس شود، به برنامه تزریق کند.
آخرین نقص با شناسه CVE-2022-31711 یک آسیبپذیری افشای اطلاعات یا Information Disclosure است که با شدت بالا و CVSSv3 5.3 شناخته میشود که به موجب آن مهاجم میتواند از راه دور اطلاعات حساس session و برنامه را بدون احراز هویت جمعآوری کند.
محصولات تحت تأثیر
VMware vRealize Log Insight تحت تاثیر این آسیبپذیری قرار دارد.
توصیههای امنیتی
به کاربران توصیه میشود در اسرع وقت نسخه 8.10.2 VMware vRealize Log Insight را دانلود و نصب کنند.
منابع خبر
- 180