VMware یک توصیه امنیتی برای رفع چندین آسیب پذیری که بر ابزار تجزیه و تحلیل گزارش رویداد vRealize این شرکت (همچنین به عنوان VMware Aria Operations for Event Logging شناخته می شود) منتشر کرده است.
دو آسیب پذیری در نظر گرفته شده در سیستم ارزیابی آسیب پذیری مشترک ([1]CVSS) امتیاز 9.8 از 10 عبارتند از:
- CVE-2022-31706: آسیب پذیری پیمایش دایرکتوری به مهاجمان اجازه می دهد تا کد از راه دور را بدون احراز هویت اجرا کنند.
- CVE-2022-31704: آسیب پذیری نقض کنترل دسترسی بحرانی که به مهاجمان اجازه می دهد تا کد از راه دور را بدون احراز هویت اجرا کنند.
این آسیب پذیری ها بر تمام نسخه های VMware vRealize Event Log Analysis Tool قبل از نسخه 8.10.2 تأثیر می گذارد.
به کاربران و مدیران محصولات تحت تاثیر این آسیب پذیری ها توصیه می شود که سریعا آخرین نسخه این ابزار را نصب کنند.
اگر محصول آسیب پذیر در محیط VMware Cloud Foundation (نسخه 4.x و 3.x) نصب شده باشد، کاربران و مدیران باید ابتدا محیط را به نسخه 4.4.1 ارتقا دهند. برای اطلاعات بیشتر در مورد نصب آپدیت در این محیط ابری می توانید به این آدرس مراجعه کنید.
اطلاعات بیشتر را می توانید در آدرس زیر بیابید:
- vmware
[1] یک سیستم ارزیابی آسیب پذیری مشترک