VMware fixed a flaw in Avi Load Balancer
2025/01/28 SecurityAffairs — VMware が公表したのは、Avi Load Balancer に存在する、高リスクのブラインド SQL インジェクションの脆弱性 CVE-2025-22217 (CVSS:8.6) に関する警告である。この脆弱性の悪用に成功した、ネットワーク・アクセス権を持つ攻撃者は、細工されたクエリを介してデータベースの悪用を可能にするという。
同社のアドバイザリには、「VMware AVI Load Balancer には、認証を必要としないブラインド SQL インジェクション脆弱性が存在する。ネットワーク・アクセス権を持つ攻撃者は、特別に細工された SQL クエリを介して、データベース・アクセスを達成する可能性を手にする」と記されている。
VMware Avi Load Balancer (旧称 Avi Vantage) は、最新のマルチ・クラウド環境に対して、高度な負荷分散/アプリケーション分析/セキュリティを提供する、次世代の ADC (application delivery controller) である。従来のハードウェア・ベースのロード バランサーとは異なり、ソフトウェアで定義されるものであり、パブリック/プライベート/ハイブリッド・クラウド・インフラ全体で動作するものだ。
この脆弱性は、Daniel Kukuczka と Mateusz Darda から、VMware に対して非公開で報告された、認証を必要としないブラインド SQL インジェクションの問題である。
VMware は、この脆弱性に対する回避策はないと指摘し、可能な限り早急に対処するよう、顧客に促している。
この脆弱性が影響を及ぼす範囲は、Avi Load Balancer のバージョン 30.1.1/30.1.2/30.2.1/30.2.2 であり、すでにセキュリティ・パッチが提供されている。
久々の VMware の脆弱性だと思い、このブログの中を検索してみたら、直近の関連記事は 2024/11/26 の「VMware Aria Operations の複数の脆弱性が FIX:直ちにパッチ適用を!」でした。よろしければ、VMware で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.