Broadcom, VMware AVI yük dengeleyicisinde, kötü niyetli aktörler tarafından yerleşik veritabanı erişimi elde etmek için silahlandırılabilecek yüksek şiddetli bir güvenlik kusuru uyardı.
CVE-2025-22217 (CVSS skoru: 8.6) olarak izlenen güvenlik açığı, kimlik doğrulanmamış bir kör SQL enjeksiyonu olarak tanımlanmıştır.
Şirket, Salı günü yayınlanan bir danışmada, “Ağ erişimine sahip kötü niyetli bir kullanıcı, veritabanı erişimi kazanmak için özel hazırlanmış SQL sorgularını kullanabilir.” Dedi.
Güvenlik araştırmacıları Daniel Kukuczka ve Mateusz Darda, kırılganlığı keşfettikleri ve raporladıkları kabul edildi.
Yazılımın aşağıdaki sürümünü etkiler –
- VMware AVI Yük Dengeleyici 30.1.1 (30.1.2-2p2’de sabit)
- VMware AVI Yük Dengeleyici 30.1.2 (30.1.2-2p2’de sabit)
- VMware AVI Yük Dengeleyici 30.2.1 (30.2.1-2p5’te sabit)
- VMware AVI Yük Dengeleyici 30.2.2 (30.2.2-2p2’de sabit)
Broadcom ayrıca 22.x ve 21.x sürümlerinin CVE-2025-22217’ye duyarlı olmadığını ve 30.1.1 sürümünü çalıştıran kullanıcıların yamayı uygulamadan önce 30.1.2’ye veya daha sonraki sürümlere yükseltmesi gerektiğini belirtti.
Eksikliği ele alan ve müşterilerin örneklerini optimum koruma için en son sürüme güncellemelerini gerektiren hiçbir geçici çözüm yoktur.