[TLP:CLEAR] VMware Aria Operations opravuje 5 zranitelností
VMware opravuje 5 zranitelností, z toho dvě vysoce závažné, ve svých produktech [1]. Produkty a jejich opravy: VMware Aria Operations for logs - 8.18.3 [1] VMware Aria Operations - 8.18.3 [1] VMware Cloud Foundation - KB92148 [2]
Autentizovanému vzdálenému útočníkovi s oprávněním "View Only Admin" je umožněno přečíst přihlašovací údaje produktu VMware integrovaného s VMware Aria Operations for Logs [1].
Zranitelnost se nachází v produktech:
- VMware Aria Operations for logs ve verzích >=8.0.0 AND <8.18.3
- VMware Cloud Foundation
CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H
Více informací:
- CVE-2025-22218 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-200: Exposure of Sensitive Information to an Unauthorized Actor at cwe.mitre.org
Zranitelnost byla veřejně oznámena 30. 1. 2025.
Autentizovanému vzdálenému útočníkovi s neadministrátorským oprávněním je umožněno injektovat škodlivý skript, který může provádět stored cross-site scripting, a tím vykonávat libovolné operace v kontextu správce [1].
Zranitelnost se nachází v produktech:
- VMware Aria Operations for logs ve verzích >=8.0.0 AND <8.18.3
- VMware Cloud Foundation
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:H
Více informací:
- CVE-2025-22219 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 30. 1. 2025.
Autentizovanému vzdálenému útočníkovi s neadministrátorským oprávněním a síťovým přístupem k rozhraní API Aria Operations for Logs je umožněno vykonávat libovolné operace v kontextu správce [1].
Zranitelnost se nachází v produktech:
- VMware Aria Operations for logs ve verzích >=8.0.0 AND <8.18.3
- VMware Cloud Foundation
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
Více informací:
- CVE-2025-22220 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-269: Improper Privilege Management at cwe.mitre.org
Zranitelnost byla veřejně oznámena 30. 1. 2025.
Autentizovanému vzdálenému útočníkovi s administrátorským oprávněním je umožněno injektovat škodlivý skript, který může být spuštěn v prohlížeči oběti při provádění akce odstranění v Agent Configuration [1].
Zranitelnost se nachází v produktech:
- VMware Aria Operations for logs ve verzích >=8.0.0 AND <8.18.3
- VMware Cloud Foundation
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:L/A:N
Více informací:
- CVE-2025-22221 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 30. 1. 2025.
Autentizovanému vzdálenému útočníkovi s neadministrátorským oprávněním je umožněno získat přihlašovací údaje pro výstupní plugin, pokud zná platné ID servisních přihlašovacích údajů [1].
Zranitelnost se nachází v produktu VMware Aria Operations ve verzích >=8.0.0 AND <8.18.3.
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N
Více informací:
- CVE-2025-22222 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-200: Exposure of Sensitive Information to an Unauthorized Actor at cwe.mitre.org
Zranitelnost byla veřejně oznámena 30. 1. 2025.
Odkazy
Za CESNET-CERTS Michaela Jarošová dne 6. 2. 2025.