「VMware Aria Automation」に「クリティカル」の脆弱性 - 認証が欠如
VMwareが提供するクラウドインフラの自動化プラットフォーム「VMware Aria Automation(旧vRealize Automation)」に深刻な脆弱性が明らかとなった。パッチが提供されている。
同製品は仮想環境やクラウドにおける運用を自動化できるソリューション。同社は現地時間1月16日にセキュリティアドバイザリを公開し、脆弱性「CVE-2023-34063」について明らかにした。
同脆弱性は、アクセス制御が欠落していることが判明したもので、 「同8.16」より以前のすべてのバージョンが影響を受ける。悪用には低い権限が必要となるが、リモートより組織やワークフローが侵害されるおそれがある。
同社は、共通脆弱性評価システム「CVSSv3.1」におけるベーススコアを「9.9」とし、重要度を4段階中もっとも高い「クリティカル(Critical)」とレーティングした。非公開のもと報告を受けたとしており、セキュリティアドバイザリの公開時点で悪用は確認されていない。
同社は、脆弱性の影響を受けない「同8.16」へアップデートするか、「同8.14.1」「同8.13.1」「同8.12.2」「同8.11.2」についてはパッチを適用するよう求めている。
(Security NEXT - 2024/01/17 )
ツイート
関連リンク
PR
関連記事
「Zimbra」に複数の深刻な脆弱性 - 最新版へアップデートを
約款などの訂正案内メールで誤送信が発生 - 北陸ガス
中学校教諭が個人情報含む私物USBメモリを紛失 - 呉市
ライオン海外子会社のショッピングサイトが改ざん被害
行政機関向け資産管理システム「Cityworks」に脆弱性 - すでに悪用も
次年度「SecHack365」に向けてオンライン説明会を開催
特権アクセス管理製品「Symantec PAM」に深刻な脆弱性
「MS Edge」がリリース - 独自含む脆弱性10件を解消
先週注目された記事(2025年2月2日〜2025年2月8日)
サンリオ関連会社でランサム被害 - 個人情報が流出した可能性