Программное обеспечение VMware для ведения журналов получило исправление безопасности

278

Наводка от исследователей Zero Day Initiative предупредила VMware о квартет уязвимостей в своем продукте vRealize Log Insight, два из которых оцениваются как критические.

Первой из критических ошибок с оценкой Common Vulnerability Scoring System 9,8 является CVE-2022-31706, уязвимость обхода каталога.

Это позволяет злоумышленнику, не прошедшему проверку подлинности, внедрять файлы в операционную систему уязвимого устройства, что приводит к удаленному выполнению кода (RCE).

Вторая ошибка RCE, также получившая 9,8 балла, — CVE-2022-31704.

Это нарушенный контроль доступа в vRealize Log Insight, который снова позволяет злоумышленнику, не прошедшему проверку подлинности, внедрять файлы в операционную систему.

Важная ошибка с оценкой 7,5 — CVE-2022-31710.

Злоумышленник, не прошедший проверку подлинности, может удаленно запустить десериализацию ненадежных данных, что приведет к отказу в обслуживании.

Наконец, в программном обеспечении есть ошибка средней степени серьезности (оценка 5,3), CVE-2022-31711, которая позволяет удаленному злоумышленнику собирать информацию о сеансе и приложении от цели без аутентификации.

Ошибки исправлены в VMware vRealize Log Insight 8.10.2.

Для пользователей, которые не могут выполнить обновление, компания также выпустила сценарии, реализующие обходные пути для устранения ошибок.

Читать полную новость на сайте