Site icon Kiber.ba

VMware Aria Automation Mana dopušta hakerima da izvode napade SQL injection-om

VMware Aria Automation Mana dopušta hakerima da izvode napade SQL injection-om-Kiber.ba

VMware Aria Automation Mana dopušta hakerima da izvode napade SQL injection-om-Kiber.ba

VMware je objavio sigurnosna ažuriranja za rješavanje kritične ranjivosti SQL injection-a u svom proizvodu Aria Automation. Ranjivost praćena kao CVE-2024-22280, mogla bi omogućiti autentifikovanim napadačima da izvode neovlaštene operacije baze podataka.

Ranjivost pogađa VMware Aria Automation verziju 8.x i VMware Cloud Foundation verzije 5.x i 4.x. Ima CVSS ocjenu 8,5 od 10, što ukazuje na njegovu visoku ozbiljnost.

Prema VMware-ovom savjetu, problem proizlazi iz nepravilne validacije unosa u Aria Automation. Ovjereni zlonamjerni korisnik mogao bi to  iskoristiti unošenjem posebno kreiranih SQL upita za obavljanje neovlaštenih operacija čitanja i pisanja u bazi podataka.

Istraživači Alexandre Lavoie i Felix Boulet iz Centra Gouvernemental de Cyberdéfense (CGCD) u Kvebeku privatno su prijavili ranjivost VMware-u.

VMware je objavio zakrpe za rješavanje ranjivosti u pogođenim verzijama. Korisnicima se preporučuje da odmah ažuriraju na najnovije verzije

Za verzije Aria Automation prije 8.17.0, dostupne su specifične zakrpe.

Da bi provjerili je li instalacija VMware Aria Automation osjetljiva na CVE-2024-22280, korisnici mogu slijediti ove korake:

Provjerite instaliranu verziju:

Uporedite verziju sa zahvaćenim verzijama:

Ako koristite pogođenu verziju, provjerite je li zakrpa instalirana:

Za korisnike VMware Cloud Foundation:

Ako zakrpa nije prisutna, a verzija je ispod 8.17.0, instalacija je vjerovatno ranjiva.

Da biste otklonili ranjivost:

Izvor: CyberSecurityNews

Exit mobile version