[TLP:CLEAR] VMware opravuje 3 zranitelnosti ve svých produktech
VMware opravuje 3 zranitelnosti ve svých produktech. Produkty a jejich opravy: VMware Aria Automation - 8.17.0 [1] VMware Cloud Director - 4.7.2 [2] Spring Cloud Function - 4.0.8, 4.1.2 [3]
Autentizovanému vzdálenému útočníkovi je umožněno zadávat speciálně vytvořené SQL dotazy a provádět neoprávněné operace čtení a zápisu v databázi [1].
Zranitelnost se nachází v produktu VMware Aria Automation ve verzích >=8.0.0 AND <8.17.0
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N
Více informací:
- CVE-2024-22280 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 11. 7. 2024.
Autentizovanému vzdálenému útočníkovi je umožněno vytvořit škodlivé HTML tagy, které se spustí v rámci replikačních úloh [2].
Zranitelnost se nachází v produktu VMware Cloud Director ve verzích >=4.0.0 AND <4.7.2
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
Více informací:
- CVE-2024-22277 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-80: Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) at cwe.mitre.org
Zranitelnost byla veřejně oznámena 4. 7. 2024.
Neautentizovanému vzdálenému útočníkovi je při pokusu o skládání funkcí s neexistujícími funkcemi umožněno vykonat DoS útok [3].
Zranitelnost se nachází v produktu Spring Cloud Function ve verzích (>=4.0.0 AND <4.0.8) OR (>=4.1.0 AND <4.1.2)
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H
Více informací:
- CVE-2024-22271 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-20: Improper Input Validation at cwe.mitre.org
Zranitelnost byla veřejně oznámena 10. 7. 2024.
Odkazy
Publikovala Michaela Mačalíková dne 15. 7. 2024.
