VMware ออกแพตช์แก้ไขช่องโหว่ SQL-Injection ที่สำคัญใน Aria Automation

249/67 (IT) ประจำวันศุกร์ที่ 12 กรกฎาคม 2567

VMWare บริษัทในเครือ Broadcom ได้ออกแพตช์เพื่อแก้ไขช่องโหว่ SQL-Injection ที่มีความร้ายแรงในระดับสูง และแจ้งเตือนบัญชีผู้ใช้งานที่เป็นอันตรายแก่ระบบฐานข้อมูลในผลิตภัณฑ์ Aria Automation

ช่องโหว่หมายเลข CVE-2024-22280 อนุญาตให้อ่านและเขียนได้โดยไม่ได้รับอนุญาตในฐานข้อมูลผ่านทาง SQL queries ที่สร้างขึ้นมาโดยเฉพาะ โดยช่องโหว่นี้มีระดับ “ความรุนแรงในระดับสูง” (ระดับความรุนแรง CVSS อยู่ที่ 8.5/10) โดยผลิตภัณฑ์ที่ได้รับผลกระทบ ได้แก่:

– VMware Aria Automation เวอร์ชัน 8.x

– VMware Cloud Foundation เวอร์ชัน 5.x และ 4.x

VMware กล่าวว่าช่องโหว่ดังกล่าวได้รับการรายงานจากนักวิจัยของ Quebec’s Centre Gouvernemental de Cyberdéfense (CGCD)

แหล่งข่าว https://www.securityweek.com/vmware-patches-critical-sql-injection-flaw-in-aria-automation/