Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

VMwareのログ管理ツールに複数の深刻なRCE脆弱性

ログ統合管理ツール「VMware vRealize Log Insight」にリモートよりコードの実行が可能となる深刻な脆弱性が複数明らかとなった。アップデートが提供されている。

外部より同社に対して非公開で報告があり、同製品においてあわせて4件の脆弱性が明らかとなったもの。

「CVE-2022-31706」はディレクトリトラバーサルの脆弱性。攻撃者は認証なしにアプライアンスのOSに対してファイルを挿入でき、リモートでコードを実行されるおそれがあるという。

さらにアクセス制御の不備「CVE-2022-31704」が存在。認証なしにOSへファイルを設置し、リモートよりコードの実行が可能になるという。

これら2件の脆弱性に関しては、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」、重要度を4段階中もっとも高い「クリティカル(Critical)」とレーティングしている。

(Security NEXT - 2023/01/25 ) このエントリーをはてなブックマークに追加

PR

関連記事

点訳ボランティア宛の案内メールで誤送信 - 堺市の指定管理者
広告業務の委託先で電子媒体を紛失 - 国交省
「配達できない」などとうそ - ヤマト運輸のフィッシングに注意
偽通販サイトの相談倍増 - 「大幅な値引き」に警戒を
2022年4Qのセキュ相談 - 「偽警告」「不正ログイン」関連が増加
狙われる顧客管理ツール「SugarCRM」の脆弱性 - 米政府も注意喚起
「Cisco ISE」の脆弱性、順次パッチ提供 - リリース後は悪用コードが利用可能に
「スシロー」のAndroidアプリにパスワード漏洩のおそれ - アップデートを
都委託先でメール誤送信 - セミナー申込者のメアド流出
児童の遅刻欠席情報、職員間のメールを保護者に誤送信 - 八代市