Две из трех уязвимостей, выявленных в VMware Aria Operations for Networks (ранее vRealize Network Insight, vRNI), позволяли дистанционно выполнить сторонний код в системе. В ветках с 6.2 по 6.10 продукта вышли обновления с патчами.
Инструмент Aria Operations for Networks используется предприятиями для мониторинга, обнаружения и анализа сетей и приложений, помогая выстроить надежную и безопасную сетевую инфраструктуру облачных сервисов.
Две уязвимости, объявившиеся в этом софте, VMware оценила как критические, еще одну — как высокой степени опасности:
- CVE-2023-20887 (9,8 балла CVSS) — возможность инъекции команд; эксплойт требует сетевого доступа и позволяет удаленно выполнить произвольный код;
- CVE-2023-20888 (9,1 балла) — небезопасная десериализация, грозящая RCE; эксплойт требует аутентификации и возможен при наличии сетевого доступа на уровне пользователя-участника (группа members);
- CVE-2023-20889 (8,8 балла) — раскрытие конфиденциальной информации через инъекцию команд; эксплойт осуществляется по сети.
Во избежание неприятностей пользователям версии 6 продукта рекомендуется установить патчи, следуя инструкциям. Альтернативной защиты вендор не предлагает.
В минувшем апреле VMware в срочном порядке залатала инструмент работы с журналами Aria Operations for Logs. Выпуск 8.12 содержал патчи для двух уязвимостей, CVE-2023-20864 и CVE-2023-20865; первая позволяла без аутентификации выполнить вредоносный код на уровне root.
