249/67 (IT) ประจำวันศุกร์ที่ 12 กรกฎาคม 2567
VMWare บริษัทในเครือ Broadcom ได้ออกแพตช์เพื่อแก้ไขช่องโหว่ SQL-Injection ที่มีความร้ายแรงในระดับสูง และแจ้งเตือนบัญชีผู้ใช้งานที่เป็นอันตรายแก่ระบบฐานข้อมูลในผลิตภัณฑ์ Aria Automation
ช่องโหว่หมายเลข CVE-2024-22280 อนุญาตให้อ่านและเขียนได้โดยไม่ได้รับอนุญาตในฐานข้อมูลผ่านทาง SQL queries ที่สร้างขึ้นมาโดยเฉพาะ โดยช่องโหว่นี้มีระดับ “ความรุนแรงในระดับสูง” (ระดับความรุนแรง CVSS อยู่ที่ 8.5/10) โดยผลิตภัณฑ์ที่ได้รับผลกระทบ ได้แก่:
– VMware Aria Automation เวอร์ชัน 8.x
– VMware Cloud Foundation เวอร์ชัน 5.x และ 4.x
VMware กล่าวว่าช่องโหว่ดังกล่าวได้รับการรายงานจากนักวิจัยของ Quebec’s Centre Gouvernemental de Cyberdéfense (CGCD)
แหล่งข่าว https://www.securityweek.com/vmware-patches-critical-sql-injection-flaw-in-aria-automation/