Broadcom, VMware ARIA ve VMware Cloud Foundation VMware kayıtları ve işlemleri için VMware ARIA işlemlerinde beş güvenlik boşluğunu uyarır. ATTHEL'ler, örneğin yetki vermeden bilgiye erişebilir ve erişim verilerine casus olabilir ve bu nedenle daha fazla hasara neden olabilir.
Duyuru
Güvenlik bildiriminde, VMware geliştiricileri, olağan idari haklara sahip malign aktörlerin, kayıtlar için VMware ARIA işlemlerinde arşivlenen VMware ürünlerinin erişim verilerini okuyabileceğini yazıyor (CVE-2025-2218, CVSS 8.5Risk “yüksek“). Ayrıca, yönetici olmayan yetkilere sahip saldırganlar, geçerli bir erişim kimliği bilmesi koşuluyla, bir eklenti için erişim verileri elde etmek için bilgi kaybını kötüye kullanabilir (CVE 2025-2222, CVSS 7.7“yüksek“).
ARIA VMware işlemlerinde daha fazla güvenlik boşluğu
Buna ek olarak, Broadcom, saldırganların yönetici olarak herhangi bir işlemi gerçekleştirebilecek zararlı komut dosyaları ekleyebilecekleri kayıtlar için VMware işlemlerinde depolanan enine yazının zayıf bir noktasını bildirdi ( 6.8,, orta). Aynı şekilde depolanan bir boşluk, idari haklara sahip saldırganların, ajan yapılandırmasında bir eleme işlemi başladığında gerçekleştirilen kurbanlardan tarayıcıda bir senaryo kaçırmalarına izin verir (CVE-2025-221, CVSS 5.2,, orta). Son olarak, kusurlu dikdörtgenler nedeniyle, Logs-API için ağa erişimi olan bağımlı olmayan kullanıcı hesapları, bir yönetici kullanıcısı bağlamında bazı etkinlikler yapabilir (CVE-2025-22220, CVSS 4.3,, orta).
Güvenlik boşlukları işlemler için VMware Aria'yı kapatır ve 8.18.3 sürümüne sahip kayıtlar için işlemler için VMware ARIA. VMware Cloud Foundation 4.xe 5thx için güncellemeler Perşembe günü VMware Aria Suite Yaşam Döngüsü Manager ile başlatılabilen sağlandı.
Broadcom VMware yöneticisi sadece bu hafta Çarşamba günü gitti. Yüksek risk olarak sınıflandırılan AVI yük dengesinde bir güvenlik açığı, saldırganların veritabanındaki SQL enjeksiyon kontrollerini kullanmasına ve yetkilendirmeden erişmesine izin verdi.
(DMK)
Duyuru
Güvenlik bildiriminde, VMware geliştiricileri, olağan idari haklara sahip malign aktörlerin, kayıtlar için VMware ARIA işlemlerinde arşivlenen VMware ürünlerinin erişim verilerini okuyabileceğini yazıyor (CVE-2025-2218, CVSS 8.5Risk “yüksek“). Ayrıca, yönetici olmayan yetkilere sahip saldırganlar, geçerli bir erişim kimliği bilmesi koşuluyla, bir eklenti için erişim verileri elde etmek için bilgi kaybını kötüye kullanabilir (CVE 2025-2222, CVSS 7.7“yüksek“).
ARIA VMware işlemlerinde daha fazla güvenlik boşluğu
Buna ek olarak, Broadcom, saldırganların yönetici olarak herhangi bir işlemi gerçekleştirebilecek zararlı komut dosyaları ekleyebilecekleri kayıtlar için VMware işlemlerinde depolanan enine yazının zayıf bir noktasını bildirdi ( 6.8,, orta). Aynı şekilde depolanan bir boşluk, idari haklara sahip saldırganların, ajan yapılandırmasında bir eleme işlemi başladığında gerçekleştirilen kurbanlardan tarayıcıda bir senaryo kaçırmalarına izin verir (CVE-2025-221, CVSS 5.2,, orta). Son olarak, kusurlu dikdörtgenler nedeniyle, Logs-API için ağa erişimi olan bağımlı olmayan kullanıcı hesapları, bir yönetici kullanıcısı bağlamında bazı etkinlikler yapabilir (CVE-2025-22220, CVSS 4.3,, orta).
Güvenlik boşlukları işlemler için VMware Aria'yı kapatır ve 8.18.3 sürümüne sahip kayıtlar için işlemler için VMware ARIA. VMware Cloud Foundation 4.xe 5thx için güncellemeler Perşembe günü VMware Aria Suite Yaşam Döngüsü Manager ile başlatılabilen sağlandı.
Broadcom VMware yöneticisi sadece bu hafta Çarşamba günü gitti. Yüksek risk olarak sınıflandırılan AVI yük dengesinde bir güvenlik açığı, saldırganların veritabanındaki SQL enjeksiyon kontrollerini kullanmasına ve yetkilendirmeden erişmesine izin verdi.
(DMK)