[TLP:CLEAR] VMware Aria Operations opravuje 5 zranitelností
VMware Aria Operations verzí 8.18.2 opravuje 5 zranitelností [1].
Autentizovanému lokálnímu útočníkovi s administrátorskými právy je umožněna eskalace na oprávnění typu root [1].
Zranitelnost se nachází v produktech:
- VMware Aria Operations ve verzích >=8 AND <8.18.2
- VMware Cloud Foundation ve verzích >=5 AND <=5.2.1
- VMware Cloud Foundation ve verzích >=4 AND <=4.5.2
CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2024-38830 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-269: Improper Privilege Management at cwe.mitre.org
Zranitelnost byla veřejně oznámena 26. 11. 2024.
Autentizovanému lokálnímu útočníkovi s administrátorskými právy je vložením škodlivých příkazů do souboru "properties" umožněna eskalace na oprávnění typu root [1].
Zranitelnost se nachází v produktech:
- VMware Aria Operations ve verzích >=8 AND <8.18.2
- VMware Cloud Foundation ve verzích >=5 AND <=5.2.1
- VMware Cloud Foundation ve verzích >=4 AND <=4.5.2
CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2024-38831 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 26. 11. 2024.
Autentizovanému vzdálenému útočníkovi s oprávněním k úpravám zobrazení je umožněno vykonat stored XSS útok [1].
Zranitelnost se nachází v produktech:
- VMware Aria Operations ve verzích >=8 AND <8.18.2
- VMware Cloud Foundation ve verzích >=5 AND <=5.2.1
- VMware Cloud Foundation ve verzích >=4 AND <=4.5.2
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L
Více informací:
- CVE-2024-38832 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 26. 11. 2024.
Autentizovanému vzdálenému útočníkovi s oprávněním k úpravám e-mailových templátů je umožněno vykonat stored XSS útok [1].
Zranitelnost se nachází v produktech:
- VMware Aria Operations ve verzích >=8 AND <8.18.2
- VMware Cloud Foundation ve verzích >=5 AND <=5.2.1
- VMware Cloud Foundation ve verzích >=4 AND <=4.5.2
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:L/A:L
Více informací:
- CVE-2024-38833 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 26. 11. 2024.
Autentizovanému vzdálenému útočníkovi s oprávněním k úpravám cloudového poskytovatele je umožněno vykonat stored XSS útok [1].
Zranitelnost se nachází v produktech:
- VMware Aria Operations ve verzích >=8 AND <8.18.2
- VMware Cloud Foundation ve verzích >=5 AND <=5.2.1
- VMware Cloud Foundation ve verzích >=4 AND <=4.5.2
CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:N/A:L
Více informací:
- CVE-2024-38834 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 26. 11. 2024.
Publikovala Michaela Ručková dne 3. 12. 2024.
