Zero Day Initiative araştırmacılarından alınan bir ihbar, VMware’i vRealize Log Insight ürününde ikisi kritik olarak derecelendirilen bir dörtlü güvenlik açığı konusunda uyardı.
Ortak Güvenlik Açığı Puanlama Sistemi puanı 9,8 olan kritik hatalardan ilki, bir dizin geçiş güvenlik açığı olan CVE-2022-31706’dır.
Kimliği doğrulanmamış bir saldırganın, savunmasız bir cihazın işletim sistemine dosya enjekte etmesine izin vererek uzaktan kod yürütmeye (RCE) yol açar.
Yine 9.8 puan alan ikinci RCE hatası CVE-2022-31704.
Bu, vRealize Log Insight’taki bozuk bir erişim kontrolüdür ve yine kimliği doğrulanmamış bir saldırganın işletim sistemine dosya enjekte etmesine izin verir.
Önem derecesi 7,5 olan önemli bir hata CVE-2022-31710’dur.
Kimliği doğrulanmamış bir saldırgan, güvenilmeyen verilerin seri durumdan çıkarılmasını uzaktan tetikleyerek hizmet reddine yol açabilir.
Son olarak, yazılım, uzaktaki bir saldırganın kimlik doğrulaması olmadan hedeften oturum ve uygulama bilgilerini toplamasına olanak tanıyan CVE-2022-31711 adlı orta düzeyde bir hataya (puan 5.3) sahiptir.
Hatalar VMware vRealize Log Insight 8.10.2’de düzeltildi.
Şirket, yükseltme yapamayan kullanıcılar için hatalar için geçici çözümler uygulayan komut dosyaları da yayınladı.