VMware向けログ管理製品に深刻な脆弱性 - 新版にて修正

VMware環境向けのログ管理製品「VMware Aria Operations for Logs（旧vRealize Log Insight）」に深刻な脆弱性が明らかとなった。

バージョンによって影響を受ける脆弱性は異なるが、2件の脆弱性「CVE-2023-20864」「CVE-2023-20865」が明らかとなったもの。いずれも外部に非公開のもと、同社に報告が寄せられたという。

「CVE-2023-20864」は、信頼できないデータをデシリアライズする脆弱性。ネットワーク経由でアクセス可能な攻撃者であれば、認証なしに悪用が可能で、リモートよりroot権限で任意のコードを実行されるおそれがある。

共通脆弱性評価システム「CVSSv3.1」におけるベーススコアは「9.8」、重要度は4段階中もっとも高い「クリティカル（Critical）」とレーティングされている。

一方、「CVE-2023-20865」はコマンドインジェクションの脆弱性。悪用には管理者権限が必要となるが、root権限で任意のコマンドを実行することが可能となる。CVSS基本値は「7.2」と評価されており、重要度は「重要（Important）」。

（Security NEXT - 2023/04/21 ） ツイート

PR

関連記事

国勢調査の調査票が運搬中に強風で飛散 - 統計センター
アプリマーケットの連携アプリ経由で顧客情報流出の可能性 - スマレジ
フィッシング攻撃契機に不正アクセス - アーク東短オルタナティブ
医師が個人情報含む診察室内写真をSNS投稿 - 横浜市医師会
米当局、「Gogs」の脆弱性悪用に注意喚起 - 修正コードが公開
「FortiSIEM」にクリティカル脆弱性 - 未認証RCEのおそれ
Adobe、11製品にセキュリティ更新 - 「クリティカル」脆弱性など修正
地震後の園児帰宅希望募る保護者向けメールで誤送信 - 佐用町
福袋発売の高負荷時にサイバー攻撃 - コスプレ通販サイト
PWリセット製品「ADSelfService Plus」に認証回避の脆弱性