- Publicité -


25 janvier 2023Ravie LakshmananSécurité logicielle / VMware

Logiciel vRealize Log Insight

VMware a publié mardi un logiciel pour remédier à quatre vulnérabilités de sécurité affectant vRealize Log Insight (alias Aria Operations for Logs) qui pourrait exposer les utilisateurs à des attaques d’exécution de code à distance.

- Publicité -

Deux des failles sont critiques, avec une cote de gravité de 9,8 sur un maximum de 10, a noté le fournisseur de services de virtualisation dans son premier bulletin de sécurité pour 2023.

Suivis comme CVE-2022-31706 et CVE-2022-31704, les problèmes de traversée de répertoire et de contrôle d’accès cassé pourraient être exploités par un acteur malveillant pour réaliser l’exécution de code à distance, quelle que soit la différence dans la voie d’attaque.

“Un acteur malveillant non authentifié peut injecter des fichiers dans le système d’exploitation d’un appareil impacté, ce qui peut entraîner l’exécution de code à distance”, a déclaré la société. m’a dit des deux lacunes.

Une troisième vulnérabilité concerne une faille de désérialisation (CVE-2022-31710, score CVSS : 7,5) qui pourrait être militarisée par un attaquant non authentifié pour déclencher une condition de déni de service (DoS).

Enfin, vRealize Log Insight s’est également avéré sensible à un bogue de divulgation d’informations (CVE-2022-31711, score CVSS : 5,3) qui pourrait permettre l’accès à des données de session et d’application sensibles sans aucune authentification.

La Zero Day Initiative (ZDI) a été reconnue pour avoir signalé toutes les failles. En plus de publier la version 8.10.2 pour résoudre les problèmes, VMware a également solutions de contournement fournies pour les atténuer jusqu’à ce que les correctifs puissent être appliqués.

Bien qu’il n’y ait aucune indication que les vulnérabilités susmentionnées aient été exploitées dans la nature, il n’est pas rare que les acteurs de la menace ciblent les appliances VMware dans leurs attaques, ce qui rend essentiel que les correctifs soient appliqués dès que possible.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.



Rate this post
Avatar
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici