Η VMware, κορυφαία εταιρεία στον τομέα της εικονικοποίησης, εξέδωσε την Τρίτη επείγουσα προειδοποίηση σχετικά με ένα κρίσιμο κενό ασφαλείας Blind SQL Injection στο Avi Load Balancer. Η εταιρεία προειδοποιεί ότι το ελάττωμα αυτό μπορεί να αξιοποιηθεί από επιτιθέμενους, επιτρέποντάς τους να αποκτήσουν εκτεταμένη πρόσβαση στη βάση δεδομένων της.
Δείτε επίσης: Το νέο Linux Ransomware της Akira επιτίθεται σε VMware ESXi servers

Η ευπάθεια, η οποία παρακολουθείται ως CVE-2025-22217, φέρει βαθμολογία σοβαρότητας CVSS 8,6/10.
Η VMware περιέγραψε το ελάττωμα ασφαλείας ως μια μη επαληθευμένη ευπάθεια Blind SQL Injection και προέτρεψε τους διαχειριστές των επιχειρήσεων να εφαρμόσουν επειγόντως τις διαθέσιμες ενημερώσεις κώδικα, καθώς δεν υπάρχουν λύσεις πριν από την ενημέρωση κώδικα.
Ένα ενημερωτικό δελτίο υψηλού κινδύνου από τη VMware προειδοποίησε ότι «ένας κακόβουλος χρήστης με πρόσβαση στο δίκτυο μπορεί να είναι σε θέση να χρησιμοποιήσει ειδικά δημιουργημένα ερωτήματα SQL για να αποκτήσει πρόσβαση στη βάση δεδομένων».
Το VMware Avi Load έχει καθιερωθεί ως μια από τις κορυφαίες λύσεις για τη διανομή και διαχείριση της εισερχόμενης κίνησης σε πολλαπλούς διακομιστές, εξασφαλίζοντας σταθερή και αξιόπιστη απόδοση για εφαρμογές τόσο στο cloud όσο και σε εσωτερικές εγκαταστάσεις. Πέρα από την εξισορρόπηση φορτίου, προσφέρει προηγμένη ασφάλεια για web εφαρμογές και υποστηρίζει είσοδο κοντέινερ, καλύπτοντας τις ανάγκες εφαρμογών σε περιβάλλοντα cloud και datacenter.
Δείτε ακόμα: Συμμορία Ransomware χρησιμοποιεί σήραγγες SSH για κρυφή πρόσβαση στο VMware ESXi
Το προϊόν έχει σχεδιαστεί για να λειτουργεί με παραδοσιακές εφαρμογές που βασίζονται σε VM και μικροϋπηρεσίες κοντέινερ.

Η VMware συμβουλεύει τους πελάτες που εκτελούν τις εκδόσεις 30.1.1, 30.1.2, 30.2.1 και 30.2.2 του Avi Load Balancer να εγκαταστήσουν γρήγορα τις διαθέσιμες ενημερώσεις κώδικα για να προστατευτούν από το ελάττωμα SQL Injection. Συνιστάται στους διαχειριστές να κάνουν αναβάθμιση τουλάχιστον στην έκδοση 30.1.2 ή νεότερη προτού εφαρμόσουν την ενημερωμένη έκδοση κώδικα σε περιπτώσεις όπου υπάρχουν παλαιότερες εκδόσεις.
Επί του παρόντος δεν υπάρχουν γνωστές λύσεις, καθιστώντας την ενημέρωση τη μόνη αποτελεσματική προστασία.
Η ευπάθεια αναφέρθηκε ιδιωτικά στη VMware. Η εταιρεία πιστώνει στους ερευνητές Daniel Kukuczka και Mateusz Darda την ανακάλυψη.
Δείτε επίσης: Το VMware διορθώνει σοβαρές ευπάθειες στο Aria Operations
Το SQL Injection είναι μια ευπάθεια ασφαλείας που συμβαίνει όταν ένας κακόβουλος χρήστης εισάγει κακόβουλο κώδικα SQL σε ένα πεδίο εισόδου με σκοπό να εκτελέσει ανεπιθύμητες ενέργειες στη βάση δεδομένων. Αυτή η επίθεση επιτρέπει σε τρίτους να παραβιάσουν την ακεραιότητα της βάσης δεδομένων, να αποκτήσουν πρόσβαση σε ευαίσθητες πληροφορίες ή ακόμα και να διαγράψουν δεδομένα. Συνήθως εκμεταλλεύεται την έλλειψη κατάλληλης επαλήθευσης δεδομένων εισόδου και μπορεί να έχει καταστροφικές συνέπειες για ένα σύστημα ή μια επιχείρηση.
Πηγή: securityweek