کمپانی Vmware یه گزارشی در خصوص اصلاح چهار آسیب پذیری ، CVE-2022-31706 و CVE-2022-31704 و CVE-2022-31710 و CVE-2022-31711 در VMware vRealize Log Insight منتشر کرده. همه آسیب پذیری ها توسط محققین ZDI کشف و گزارش شدن.
ابزار vRealize Log Insight که با نام VMware Aria Operations for Logs هم شناخته میشه ، یه ابزار مدیریت و تحلیل لاگ هستش که به تحلیل لاگهای برنامه ها و زیرساختها در محیط vmware کمک میکنه.
آسیب پذیری CVE-2022-31706 : آسیب پذیری از نوع Directory Traversal و در محصول VMware vRealize Log Insight هستش. دارای امتیاز 9.8 و شدت بحرانی هستش. مهاجم بدون احراز هویت میتونه فایل دلخواه داخل سیستم عامل تزریق کنه و کد دلخواه اجرا کنه.
آسیب پذیری CVE-2022-31704 :آسیب پذیری از نوع broken access control و در محصول vRealize Log Insight هستش. دارای امتیاز 9.8 و شدت بحرانی هستش. مهاجم بدون احراز هویت میتونه فایل دلخواه داخل سیستم عامل تزریق کنه و کد دلخواه اجرا کنه.
آسیب پذیری CVE-2022-31710 :آسیب پذیری از نوع deserialization و در محصول vRealize Log Insight هستش. دارای امتیاز 7.5 و شدت مهم هستش. مهاجم بدون احراز هویت میتونه با این آسیب پذیری منجر به DoS بشه.
آسیب پذیری CVE-2022-31711 :آسیب پذیری از نوع افشای اطلاعات و در محصول vRealize Log Insight هستش. دارای امتیاز 5.3 و شدت متوسط هستش. یه مهاجم بدون احراز هویت میتونه اطلاعات حساس session و اطلاعات برنامه رو بدست بیاره.
جدول زیر نسخه های آسیب پذیر و اصلاح شده رو نشون میده. اگه نمیتونید نسخه جدید رو اعمال کنید ، بخش راه حل ها رو دنبال کنید.
| محصول | شناسه آسیب پذیر | نسخه آسیب پذیر | نسخه اصلاح شده | راه حل ها |
| VMware vRealize Log Insight | CVE-2022-31706, CVE-2022-31704, CVE-2022-31710, CVE-2022-31711 | 8.x | 8.10.2 | KB90635 |
| VMware Cloud Foundation (VMware vRealize Log Insight) | CVE-2022-31706, CVE-2022-31704, CVE-2022-31710, CVE-2022-31711 | 4.x, 3.x | KB90668 | KB90635 |