VMware’in operasyon yönetimi platformu Aria Operations, çeşitli güvenlik açıkları içerir. Üç güvenlik açığı, kimliği doğrulanmış saldırganların ayrıcalıklarını artırmasına olanak tanır ve seri durumdan çıkarma güvenlik açığı, kötü niyetli bir yöneticinin özel kod yürütmesine olanak tanır.
Aria Operations, eski adı vRealize, bulut kaynaklarının otomatik yönetimi için kullanılır. En ciddi güvenlik açığı (CVE-2023-20877, CVSS puanı 8,8/10), kodlarını yürütmek ve ayrıcalıklarını yükseltmek için Aria Operations’a okuma erişimi olan saldırganlar tarafından kullanılabilir.
İkincisi (CVE-2023-20879, CVSS 6.7/10) ve üçüncüsü (CVE-2023-20880, CVSS 6.4/10), kötü niyetli yöneticilerin Aria Operations çalıştıran işletim sistemine root erişimi kazanmasına olanak tanır. İçeriden saldırganlar, kendi komutlarını çalıştırmak ve böylece sistemi durdurmak için CVE-2023-20878 kimliği ve CVSS değeri 6.6/10 ile seri kaldırma boşluğunu da kullanabilir.
VMWare Cloud Foundation’ın 4. sürümü ve VMWare Aria Operations’ın 8.6 ve 8.10 sürümleri bu güvenlik açıklarından etkilenir. VMWare, tüm güvenlik açıkları için zaten düzeltmeler sağlamıştır.
(Hangi)
Haberin Sonu
Aria Operations, eski adı vRealize, bulut kaynaklarının otomatik yönetimi için kullanılır. En ciddi güvenlik açığı (CVE-2023-20877, CVSS puanı 8,8/10), kodlarını yürütmek ve ayrıcalıklarını yükseltmek için Aria Operations’a okuma erişimi olan saldırganlar tarafından kullanılabilir.
İkincisi (CVE-2023-20879, CVSS 6.7/10) ve üçüncüsü (CVE-2023-20880, CVSS 6.4/10), kötü niyetli yöneticilerin Aria Operations çalıştıran işletim sistemine root erişimi kazanmasına olanak tanır. İçeriden saldırganlar, kendi komutlarını çalıştırmak ve böylece sistemi durdurmak için CVE-2023-20878 kimliği ve CVSS değeri 6.6/10 ile seri kaldırma boşluğunu da kullanabilir.
VMWare Cloud Foundation’ın 4. sürümü ve VMWare Aria Operations’ın 8.6 ve 8.10 sürümleri bu güvenlik açıklarından etkilenir. VMWare, tüm güvenlik açıkları için zaten düzeltmeler sağlamıştır.
(Hangi)
Haberin Sonu