VMware Patches Critical SQL-Injection Flaw in Aria Automation
2024/07/10 SecurityWeek — 7月22日に Broadcom 傘下の VMware がリリースしたのは、同社の Aria Automation 製品に存在する SQL インジェクションの脆弱性 CVE-2024-22280 (CVSS:8.5) に対するパッチである。この脆弱性の悪用に成功した認証された攻撃者は、データベースを操作する可能性があると、VMware は警告している。
この脆弱性は脅威度 “High” と評価されており、VMware Aria Automation 8.x、VMware Cloud Foundation 5.x/4.x に影響をおよぼす。
脆弱性 CVE-2024-22280 について VMware は、「VMware Aria Automation は、正しい入力検証を適用していないため、SQL インジェクションの可能性がある。認証された攻撃者が、特別に細工された SQL クエリを入力し、データベースで不正な読み取り/書き込み操作を実行する可能性がある」とアドバイザリで説明している。
同社によると、この脆弱性は、ケベック州の Centre Gouvernemental de Cyberdefense (CGCD) の研究者たちにより、非公開で報告されたものだという。
VMware Aria の脆弱性ですが、直近のものは 2024/01/16 の「VMware Aria Automation の脆弱性 CVE-2023-34063 が FIX:直ちにパッチを!」ですから、約半年ぶりとなります。よろしければ、VMware で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.