Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「VMware Aria Automation」に「クリティカル」の脆弱性 - 認証が欠如

VMwareが提供するクラウドインフラの自動化プラットフォーム「VMware Aria Automation(旧vRealize Automation)」に深刻な脆弱性が明らかとなった。パッチが提供されている。

同製品は仮想環境やクラウドにおける運用を自動化できるソリューション。同社は現地時間1月16日にセキュリティアドバイザリを公開し、脆弱性「CVE-2023-34063」について明らかにした。

同脆弱性は、アクセス制御が欠落していることが判明したもので、 「同8.16」より以前のすべてのバージョンが影響を受ける。悪用には低い権限が必要となるが、リモートより組織やワークフローが侵害されるおそれがある。

同社は、共通脆弱性評価システム「CVSSv3.1」におけるベーススコアを「9.9」とし、重要度を4段階中もっとも高い「クリティカル(Critical)」とレーティングした。非公開のもと報告を受けたとしており、セキュリティアドバイザリの公開時点で悪用は確認されていない。

同社は、脆弱性の影響を受けない「同8.16」へアップデートするか、「同8.14.1」「同8.13.1」「同8.12.2」「同8.11.2」についてはパッチを適用するよう求めている。

(Security NEXT - 2024/01/17 ) このエントリーをはてなブックマークに追加

PR

関連記事

サポート詐欺被害、PCを遠隔操作される - 足立東部病院
「Firefox 123」が公開 - 12件の脆弱性を修正
「ConnectWise ScreenConnect」に深刻な脆弱性 - ランサム攻撃にも悪用
メール送信時の人為ミスで関係者のアドレス流出 - 日本財団学生ボランティアセンター
ワークフロー管理の「Apache DolphinScheduler」に脆弱性
SonicWall「SMA 100シリーズ」の多要素認証機能に脆弱性
一部SonicWall製ファイアウォールの「SSL VPN機能」に脆弱性 - 認証バイパスのおそれ
Atlassian、「Confluence」など複数製品にセキュリティアップデート
GitLabが2月2度目のアップデート、脆弱性やバグに対応
ランサムリークサイト、年間約4000件の投稿 - 身代金支払うも約2割で反古