在最近的一份安全公告中,Broadcom 披露了一个影响 VMware HCX 的重大 SQL 注入漏洞 (CVE-2024-38814),VMware HCX 是多云基础架构中用于实现应用程序迁移和灾难恢复的关键组件。该漏洞的 CVSS 得分为 8.8,属于 “重要 ”严重性类别,表明如果不打补丁,被利用的风险很高。
该漏洞是 VMware 私人报告的,涉及一个验证 SQL 注入漏洞,具有非管理员权限的恶意用户可利用该漏洞。正如公告中详述的那样,“具有非管理员权限的恶意验证用户可能能够输入特制的 SQL 查询,并在 HCX 管理器上执行未经授权的远程代码执行”。这意味着即使是低权限用户也有可能控制受影响的系统,从而导致数据泄露或服务中断等严重后果。
VMware 感谢 Summoning 团队的 Sina Kheirkhah 与趋势科技的 “零日计划”(ZDI)合作,发现并报告了这一漏洞。
该公告列出了多个受影响的 VMware HCX 版本,包括 4.10.x、4.9.x 和 4.8.x。为缓解该漏洞,VMware 建议应用以下补丁:
- VMware HCX 4.10.x: 更新至版本 4.10.1
- VMware HCX 4.9.x: 更新至版本 4.9.2
- VMware HCX 4.8.x: 更新至版本 4.8.3 更新至版本 4.8.3
VMware 强调立即打补丁的重要性,因为该漏洞没有可用的解决方法。“要修复 CVE-2024-38814,请打上补丁”,该公告敦促道,并强调了企业保护其环境的紧迫性。
发表评论
您还未登录,请先登录。
登录