「Aria Operations for Networks」に深刻な脆弱性 - 修正パッチの適用を

マルチクラウド環境の可視化や監視機能を提供する「VMware Aria Operations for Networks（旧VMware vRealize Network Insight）」に深刻な脆弱性が明らかとなった。

「CVE-2023-20887」をはじめ、3件の脆弱性が明らかとなったもの。いずれも内密に同社へ報告が行われたという。

「CVE-2023-20887」はコマンドインジェクションの脆弱性。ネットワーク経由でアクセスできる場合に悪用でき、リモートからコードを実行されるおそれがある。

また悪用には「メンバー」の認証情報が必要となるが、信頼できないデータをデシリアライズするため、リモートよりコードを実行される「CVE-2023-20888」が判明した。

共通脆弱性評価システム「CVSSv3.1」におけるベーススコアは「CVE-2023-20887」が「9.8」、「CVE-2023-20888」が「9.1」で、いずれも重要度は4段階中もっとも高い「クリティカル（Critical）」とレーティングされている。

（Security NEXT - 2023/06/08 ） ツイート

PR

関連記事

イベント説明会の申込フォームで設定ミス - えどがわボランティアセンター
MDMサーバに不正アクセス、従業員情報が流出 - 三菱オートリース
「Cisco FMC」に深刻な脆弱性 - 認証なしでコマンド実行のおそれ
Cisco、ファイアウォール製品群にアドバイザリ21件を公開
「Apache Tomcat」にアップデート - 脆弱性「MadeYouReset」を解消
「HTTP/2」実装に「MadeYouReset」脆弱性 - DoS攻撃のおそれ
「Exchange Server」のハイブリッド構成に深刻な脆弱性 - MSが定例外アドバイザリ
登録セキスペ試験、2026年度からCBT方式に移行
秘密管理ツール「OpenBao」に脆弱性 - 任意のコード実行が可能に
N-ableのIT管理ツールにゼロデイ脆弱性 - 米当局が悪用に注意喚起