VMware ออกแพตช์ vRealize อุดช่องโหว่ที่ทำให้รันคำสั่งด้วยสิทธิ root

VMware ออกแพตช์ vRealize อุดช่องโหว่ที่ทำให้ผู้โจมตีสามารถรันคำสั่งด้วยสิทธิ root ได้

VMware ได้ออกอัปเดตแพตช์สำหรับ vRealize Log Insight หรือชื่อใหม่คือ VMware Aria Operations for Logs ซึ่งเป็นระบบที่ใช้ในการวิเคราะห์ Application และ Infrastucture Log มีการอุดช่องโหว่ด้วยกันทั้งหมด 2 ตัว ได้แก่ CVE-2023-20864 ทำให้ผู้โจมตีสามารถรันคำสั่งด้วยสิทธิ root ได้ มีความรุนแรงระดับ CVSSv3 score 9.8 คะแนน เกิดขึ้นเฉพาะเวอร์ชัน 8.10.2 เท่านั้น ทาง VMware แนะนำให้อัปเดตโดยด่วน สำหรับอีกช่องโหว่คือ CVE-2023-20865 ทำให้ผู้โจมตีที่มีสิทธิระดับผู้ดูแลระบบสามารถรันคำสั่งด้วยสิทธิ root ได้ มีความรุนแรง CVSSv3 score 7.2 คะแนน เกิดขึ้นในเวอร์ชันอื่นๆของ VMware Aria Operations for Logs

อย่างไรก็ตาม ยังไม่มีรายงานการโจมตีด้วยสองช่องโหว่นี้ ผู้ดูแลระบบสามารถอัปเดตไปใช้งานเวอร์ชัน 8.12 เพื่ออุดช่องโหว่ทั้งสองตัวได้แล้ว

ที่มา: https://www.bleepingcomputer.com/news/security/vmware-fixes-vrealize-bug-that-let-attackers-run-code-as-root/