Наводка от исследователей Zero Day Initiative предупредила VMware о квартет уязвимостей в своем продукте vRealize Log Insight, два из которых оцениваются как критические.
Первой из критических ошибок с оценкой Common Vulnerability Scoring System 9,8 является CVE-2022-31706, уязвимость обхода каталога.
Это позволяет злоумышленнику, не прошедшему проверку подлинности, внедрять файлы в операционную систему уязвимого устройства, что приводит к удаленному выполнению кода (RCE).
Вторая ошибка RCE, также получившая 9,8 балла, — CVE-2022-31704.
Это нарушенный контроль доступа в vRealize Log Insight, который снова позволяет злоумышленнику, не прошедшему проверку подлинности, внедрять файлы в операционную систему.
Важная ошибка с оценкой 7,5 — CVE-2022-31710.
Злоумышленник, не прошедший проверку подлинности, может удаленно запустить десериализацию ненадежных данных, что приведет к отказу в обслуживании.
Наконец, в программном обеспечении есть ошибка средней степени серьезности (оценка 5,3), CVE-2022-31711, которая позволяет удаленному злоумышленнику собирать информацию о сеансе и приложении от цели без аутентификации.
Ошибки исправлены в VMware vRealize Log Insight 8.10.2.
Для пользователей, которые не могут выполнить обновление, компания также выпустила сценарии, реализующие обходные пути для устранения ошибок.
Читать полную новость на сайте