شرکت ویامور (VMware) از ترمیم چهار ضعف امنیتی در محصول vRealize Log Insight خبر داده است.
شدت دو مورد از آسیبپذیریهای مذکور، «حیاتی» (Critical) گزارش شده و سوءاستفاده موفق از هر یک از آنها مهاجم را در نهایت قادر به اجرای از راه دور کد بدون نیاز به اصالتسنجی میکند.
به گزارش شرکت مهندسی شبکه گستر، چهار آسیبپذیری vRealize Log Insight که فهرست آنها به شرح زیر است در نسخه 8.10.2 این محصول ترمیم و اصلاح شده است.
- CVE-2022-31706 که ضعفی از نوع Directory Traversal و شدت 9.8 از 10 (بر طبق استاندارد CVSS) است. بهرهجویی موفق از آن مهاجم احراز هویت نشده را قادر به تزریق کد در سیستم عامل و در ادامه اجرای از راه دور کد میکند.
- CVE-2022-31704 که ضعفی از نوع Broken Access Control و با شدت 9.8 از 10 است. مهاجم با سوءاستفاده از این آسیبپذیری قادر خواهد بود بدون احراز هویت فایلهای موردنظر خود را به سیستم عامل تزریق نموده و کد را به صورت از راه دور اجرا نماید.
- CVE-2022-31710 که ضعفی از نوع Deserialization بوده و بهرهجویی موفق از آن میتواند منجر به «از کار اندازی سرویس» (Denial of Service – به اختصار DoS) شود.
- CVE-2022-31711 که ضعفی از نوع Information Disclosure بوده و سوءاستفاده از آن امکان سرقت اطلاعات بالقوه حساس را برای مهاجم احراز هویت نشده فراهم میکند.
تمامی این آسیبپذیریها در پیکربندی پیشفرض محصول VMware vRealize Log Insight با کمترین پیچیدگی قابل بهرهجویی هستند.
توصیهنامه ویاموی در خصوص آسیبپذیریهای vRealize Log Insight در لینک زیر قابل دریافت و مطالعه است:
https://www.vmware.com/security/advisories/VMSA-2023-0001.html