کمپانی Vmware هشداری در بولتن امنیتیش در خصوص دو آسیب پذیری در محصول VMware Aria Operations for Logs منتشر کرده و از کاربران خواسته هر چه سریعتر بروزرسانی رو اعمال کنن.
ابزار VMware Aria Operations for Logs که قبلا vRealize Log Insight بود، یه ابزار برای مدیریت لاگهای برنامه ها و زیرساخت ها در سازمانهای مقیاس بزرگ هستش.
- آسیب پذیری CVE-2023-20864 : آسیب پذیری از نوع Deserialization هستش و شدت بحرانی و امتیاز 9.8 داره. مهاجم بدون احرازهویت میتونه کد دلخواه رو با امتیاز Root اجرا کنه.
- آسیب پذیری CVE-2023-20865 : آسیب پذیری از نوع Command Injection هستش و شدت مهم و امتیاز 7.2 داره. مهاجم با امتیاز مدیریتی و دسترسی به VMware Aria Operations for Logs میتونه دستور دلخواه رو با امتیاز Root اجرا کنه.
جدول زیر نسخه های آسیب پذیر و اصلاح شده رو نشون میده :
| Product | Version | Running On | CVE Identifier | Fixed Version |
|
VMware Aria Operations for Logs
|
8.12
|
Any
|
CVE-2023-20864, CVE-2023-20865
|
Unaffected
|
|
VMware Aria Operations for Logs
|
8.10.2
|
Any
|
CVE-2023-20864, CVE-2023-20865
|
|
|
VMware Aria Operations for Logs
|
8.10
|
Any
|
CVE-2023-20864
|
Unaffected
|
|
VMware Aria Operations for Logs
|
8.10
|
Any
|
CVE-2023-20865
|
|
|
VMware Aria Operations for Logs
|
8.8.x
|
Any
|
CVE-2023-20864
|
Unaffected
|
|
VMware Aria Operations for Logs
|
8.8.x
|
Any
|
CVE-2023-20865
|
|
|
VMware Aria Operations for Logs
|
8.6.x
|
Any
|
CVE-2023-20864
|
Unaffected
|
|
VMware Aria Operations for Logs
|
8.6.x
|
Any
|
CVE-2023-20865
|
|
|
VMware Cloud Foundation (VMware Aria Operations for Logs)
|
4.x
|
Any
|
CVE-2023-20864, CVE-2023-20865
|