November 24, 2024

VMware ออกแพ็ตช์แก้ไขช่องโหว่ใหม่ในหลายผลิตภัณฑ์

เมื่อวันพุธที่ผ่านมา ทาง VMware ได้ออกตัวอัพเดทด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ในผลิตภัณฑ์หลายรายการที่อาจเปิดช่องให้ผู้โจมตีเข้ามาควบคุมระบบที่เกี่ยวข้องได้ รวมช่องโหว่ทั้งสิ้น 6 รายการ (ตั้งแต่ CVE-2021-22022 ถึง CVE-2021-22027)

โดยช่องโหว่เหล่านี้มีคะแนนความร้ายแรงอยู่ในช่วง 4.4 – 8.6 ตามสเกล CVSS กระทบกับผลิตภัณฑ์อย่าง VMware vRealize Operations (เวอร์ชั่นก่อนหน้า 8.5.0), VMware Cloud Foundation (เวอร์ชั่น 3.x และ 4.x), และ vRealize Suite Lifecycle Manager (เวอร์ชั่น 8.x)

ตัวอย่างช่องโหว่ได้แก่ CVE-2021-22022 (คะแนน CVSS: 4.4) เป็นช่องโหว่ในการอ่านไฟล์บน API ของ vRealize Operations Manager ที่ทำให้ข้อมูลรั่วไหลได้, CVE-2021-22023 (คะแนน CVSS: 6.6) เป็นช่องโหว่ที่เปิดให้ผู้โจมตีเข้ามาแก้ไขข้อมูลผู้ใช้ได้ด้วยสิทธิ์แอดมิน

ช่องโหว่ CVE-2021-22024 (คะแนน CVSS: 7.5) เป็นช่องโหว่ในการอ่านไฟล์บันทึก Log บน vRealize Operations Manager API ที่ทำให้ข้อมูลความลับหลุดรั่วได้, ช่องโหว่ CVE-2021-22025 (คะแนน CVSS: 8.6) เป็นปัญหาด้านการควบคุมการเข้าถึงที่ปล่อยให้ผู้โจมตีมาเพิ่มโหนดในคลัสเตอร์ vROps ได้