Broadcom, AVI yük dengeleyici ürününü etkileyen kritik bir güvenlik açığını açıkladı. CVE-2025-22217 olarak tanımlanan güvenlik açığı, ağ erişimine sahip saldırganların temel veritabanına yetkisiz erişim elde etmesine izin verebilecek kimlik doğrulanmamış bir kör SQL enjeksiyon güvenlik açığıdır.
Sorun özel olarak VMware’e bildirildi ve 8.6 CVSSV3 taban skoru ile sınıflandırıldı ve bu da “önemli” şiddet aralığına yerleştirildi.
Güvenlik açığı, AVI yük dengeleyicisinde uygunsuz girdi sterilizasyonundan kaynaklanır ve saldırganların kimlik doğrulaması yapmadan sistemi kullanmasını sağlar.
SOC/DFIR ekiplerinden misiniz? -kötü amaçlı yazılım dosyalarını ve bağlantılarını herhangi biriyle analiz edin.
Bu kusurdan yararlanmak, yetkisiz veritabanı erişimi ve potansiyel veri uzlaşması da dahil olmak üzere önemli güvenlik ihlallerine yol açabilir.
Etkilenen ve sabit versiyonlar
Broadcom, bu güvenlik açığını ele almak için etkilenen tüm sürümler için yamalar yayınladı. Kullanıcıların aşağıdaki yanıt matrisinde listelenen güncellemeleri uygulamaları şiddetle tavsiye edilir:
| Ürün | Etkilenen versiyon | Sabit versiyon |
|---|---|---|
| Vmware avi yük dengeleyici | 30.1.1 | 30.1.2-2p2 |
| Vmware avi yük dengeleyici | 30.1.2 | 30.1.2-2p2 |
| Vmware avi yük dengeleyici | 30.2.1 | 30.2.1-2p5 |
| Vmware avi yük dengeleyici | 30.2.2 | 30.2.2-2p2 |
Bu konu için hiçbir geçici çözüm mevcut değildir, bu da yöneticilerin yamaları hemen dağıtmasını zorunlu kılar.
VMware AVI yük dengeleyicisini kullanan kuruluşlar aşağıdaki adımları atmalıdır:
- Yazılımın savunmasız sürümlerini çalıştıran etkilenen sistemleri tanımlayın.
- Önerilen yamaları mümkün olan en kısa sürede uygulayın.
- Sömürü girişimlerini gösterebilecek şüpheli davranışlar için ağ etkinliğini izleyin.
Bu güvenlik açığının ele alınmaması, kritik veritabanlarını kötü amaçlı aktörlere maruz bırakarak veri ihlallerine ve diğer güvenlik olaylarına yol açabilir.
Jenkins & Jira -> Ücretsiz Web Semineri kullanarak uygulama güvenliğini CI/CD iş akışlarınıza entegre etmek