Η VMWare ανακοίνωσε ένα κρίσιμο ελάττωμα SQL Injection που επηρεάζει τους χρήστες της πλατφόρμας κινητικότητας εφαρμογών HCX για επιχειρήσεις.
Δείτε επίσης: Η Broadcom διορθώνει κρίσιμη ευπάθεια στο VMware vCenter Server
Η ευπάθεια, με την ετικέτα CVE-2024-38814, φέρει βαθμολογία σοβαρότητας CVSS 8,8/10 και επιτρέπει σε εισβολείς με δικαιώματα μη διαχειριστή να εκτελούν απομακρυσμένο κώδικα στον διαχειριστή HCX.
“Ένας κακόβουλος έλεγχος ταυτότητας χρήστη με δικαιώματα μη διαχειριστή μπορεί να εισάγει ειδικά δημιουργημένα ερωτήματα SQL και να εκτελεί μη εξουσιοδοτημένη απομακρυσμένη εκτέλεση κώδικα στον διαχειριστή HCX“, σύμφωνα με μια συμβουλή από τον προμηθευτή τεχνολογίας εικονικοποίησης.
H Newpark Resources χτυπήθηκε από Ransomware
Πρόστιμο ΜΕΤΑ: Παράνομη Συλλογή Δεδομένων στην Νότια Κορέα
Έργο τέχνης του ρομπότ Ai-Da πωλήθηκε για $ 1,3 εκατ.
Το VMware HCX όπου ανακαλύφθηκε το SQL Injection, είναι μια πλατφόρμα φορητότητας εφαρμογών που έχει σχεδιαστεί για να απλοποιεί τη μετεγκατάσταση εφαρμογών, την εξισορρόπηση του φόρτου εργασίας και την επιχειρηματική συνέχεια σε κέντρα δεδομένων και cloud.
Δείτε ακόμα: Ευπάθεια VMware Fusion επιτρέπει εκτέλεση κακόβουλου κώδικα
Η εταιρεία που ανήκει στην Broadcom είπε ότι το ελάττωμα SQL Injection επηρεάζει πολλές εκδόσεις της πλατφόρμας VMware HCX, συμπεριλαμβανομένων των εκδόσεων 4.8.x, 4.9.x και 4.10.x.
Η VMware δημοσίευσε οδηγίες για την εφαρμογή των διαθέσιμων ενημερώσεων κώδικα. Η εταιρεία πιστώνει τη Sina Kheirkhah από τη SinSinology για την αναφορά του σφάλματος μέσω του προγράμματος επιβράβευσης σφαλμάτων ZDI.
Δείτε επίσης: SQL injection παρακάμπτει τους ελέγχους ασφαλείας αεροδρομίου
Μία ευπάθεια SQL Injection, όπως αυτή του VMware HCX, είναι μία από τις πιο συνηθισμένες και επικίνδυνες επιθέσεις στον τομέα της ασφάλειας δικτύων και εφαρμογών. Αυτού του είδους η επίθεση εκμεταλλεύεται τις αδυναμίες στις βάσεις δεδομένων, όπου ο επιτιθέμενος εισάγει κακόβουλο κώδικα SQL σε ερωτήματα που εκτελούνται στην βάση δεδομένων. Αν η εφαρμογή δεν έχει κατάλληλους ελέγχους και τα δεδομένα δεν έχουν γίνει σωστά sanitized, μπορεί να επιτρέψει στον επιτιθέμενο να αποκτήσει πρόσβαση, να διαγράψει ή να επεξεργαστεί δεδομένα στη βάση, ή ακόμα και να πάρει τον πλήρη έλεγχο του συστήματος. Οι επιπτώσεις από μια τέτοια ευπάθεια μπορεί να είναι καταστροφικές, καθιστώντας την προστασία εναντίον των SQL Injection κρίσιμη για την ασφάλεια οποιασδήποτε εφαρμογής.
Πηγή: securityweek