(https://i.postimg.cc/P5n2YJwy/VMware.png) (https://postimages.org/)
El gigante de la virtualización VMware abordó una vulnerabilidad de inyección SQL de alta gravedad, rastreada como CVE-2024-22280 ( puntuación base CVSSv3 de 8,5 ), en su solución Aria Automation.
VMware Aria Automation (anteriormente vRealize Automation) es una plataforma moderna de automatización de la nube que simplifica y agiliza la implementación, la gestión y la gobernanza de la infraestructura y las aplicaciones de la nube. Proporciona una plataforma unificada para automatizar tareas en múltiples entornos de nube, incluidos VMware Cloud on AWS, VMware Cloud on Azure y VMware Cloud Foundation.
Un usuario malicioso autenticado puede explotar la falla ingresando consultas SQL especialmente diseñadas y realizando operaciones de lectura/escritura no autorizadas en la base de datos.
"Un usuario malicioso autenticado podría ingresar consultas SQL especialmente diseñadas y realizar operaciones de lectura/escritura no autorizadas en la base de datos".
La vulnerabilidad afecta a VMware Aria Automation versión 8.x y a Cloud Foundation versiones 5.x y 4.x.
VMware agradeció a Alexandre Lavoie y Felix Boulet del Centro gubernamental canadiense de ciberdéfense (CGCD) por informar de forma privada sobre este problema.
La empresa afirma que no existen soluciones para este problema.
En enero, VMware abordó una vulnerabilidad crítica, rastreada como CVE-2023-34063 ( puntuación CVSS 9,9 ), que afectó a su plataforma Aria Automation.
El problema es una vulnerabilidad de control de acceso faltante que puede ser explotada por un atacante autenticado para obtener acceso no autorizado a organizaciones y flujos de trabajo remotos.
Fuente:
SecurityAffairs
https://securityaffairs.com/165560/security/vmware-aria-automation-critical-sql-injection.html