VMwareは2023年4月20日(現地時間)、「VMware Aria Operations for Logs」に複数の脆弱(ぜいじゃく)性が存在すると伝えた。これらの脆弱性はデシリアライゼーションとコマンドインジェクションに関連しており、それぞれ緊急(Critical)および重要(Important)と評価されている。VMwareは既に修正したバージョンを公開しており、該当製品を使用している場合は迅速なアップデートが推奨されている。
CVE-2023-20864:デシリアライゼーションにおける脆弱性。認証されていないユーザーであってもVMware Aria Operations for Logsにアクセス可能なネットワークに接続できればroot権限で任意のコードを実行可能。共通脆弱性評価システム(CVSS)v3のスコア値は9.8とされており、「緊急」(Critical)と評価されている
CVE-2023-20865:コマンドインジェクションの脆弱性。VMware Aria Operations for Logsで特権を持っている状態で任意のコマンドが実行できる。CVSSv3のスコア値は7.2で「重要」(Important)と評価されている
脆弱性が存在するとされる製品は以下の通りだ。
VMware Aria Operations for Logs(Operations for Logs) バージョン8.10.2
VMware Aria Operations for Logs(Operations for Logs) バージョン8.10
VMware Aria Operations for Logs(Operations for Logs) バージョン8.8.x
VMware Aria Operations for Logs(Operations for Logs) バージョン8.6.x
VMware Cloud Foundation(VMware Aria Operations for Logs バージョン4.x
脆弱性が修正された製品は以下の通りだ。
VMware Aria Operations for Logs(Operations for Logs) バージョン8.12
VMware Cloud Foundation(VMware Aria Operations for Logs) バージョン4.x KB91865