Broadcom, VMware ARIA operasyonlarını ve ARIA işlemlerini günlükler için etkileyen beş güvenlik kusurları için güvenlik güncellemeleri yayınladı, müşterilere saldırganların yüksek erişim elde etmek veya hassas bilgiler elde etmek için bunları kullanabileceği konusunda uyarıyor.
Yazılımın 8.x sürümlerini etkileyen tanımlanmış kusurların listesi aşağıdadır –
- CVE-2025-22218 (CVSS Puanı: 8.5) – Yalnızca Yönetici İzinleri’ne sahip kötü niyetli bir aktör, günlükler için VMware ARIA işlemleriyle entegre bir VMware ürününün kimlik bilgilerini okuyabilir.
- CVE-2025-22219 (CVSS Puanı: 6.8)-İdare olmayan ayrıcalıklara sahip kötü niyetli bir aktör
- CVE-2025-22220 (CVSS Puanı: 4.3) – İkmopik olmayan ayrıcalıklara sahip kötü amaçlı bir aktör ve Logs API’si için ARIA işlemlerine ağ erişimi, bir yönetici kullanıcısı bağlamında belirli işlemleri gerçekleştirebilir
- CVE-2025-22221 (CVSS Puanı: 5.2) – Günlükler için VMware ARIA işlemlerine yönelik yönetici ayrıcalıklarına sahip kötü niyetli bir aktör
- CVE-2025-22222 (CVSS Puanı: 7.7) – Uygulama dışı ayrıcalıklara sahip kötü niyetli bir kullanıcı, geçerli bir hizmet kimlik kimliği biliniyorsa, giden bir eklenti için kimlik bilgilerini almak için bu güvenlik açığından yararlanabilir.
Güvenlik araştırmacıları Michelin Cert’den Maxime Escourbiac ve Abicom’dan Yasine Bengana ve Quentin Ebel ve Michelin Cert ekibinin bir kısmını kusurları tespit etmek ve raporlamak için. Kasım 2024’ün sonlarında aynı ekibin aynı üründeki (CVE-2024-38832 ve CVE-2024-38833) iki eksikliği tespit ettiğini belirtmek gerekir.
Yukarıda belirtilen tüm güvenlik açıkları, VMware ARIA işlemlerinde ve Logs sürüm 8.18.3 için ARIA işlemlerinde yamalanmıştır. Sanallaştırma hizmetleri sağlayıcısı, bu sorunların vahşi doğada sömürülmesinden bahsetmemektedir.
Danışma, Broadcom’un VMware AVI yük dengeleyicisinde (CVE-2025-22217, CVSS Puanı: 8.6), kötü niyetli aktörler tarafından veritabanı erişimi elde etmek için silahlandırılabilecek yüksek şiddetli bir güvenlik kusuru konusunda uyardıktan günler sonra geliyor.