VMware NSX-en, Cloud Foundation-en eta Telco Cloud-en ahultasunak

Argitalpen-data: 

Laburpen exekutiboa

Identifikatutako hiru ahultasunak VMware NSX softwarean daude eta Cross-Site Scripting (XSS) eraso gordinekin lotzen dira, sarrera balioztapen nahikorik gabeagatik. Hauek, CVSS puntuazioa 7.5 duena, oso larria da eta VMware NSX Manager erabiltzaile interfazean kokatzen da, arintze azkarra eskatzen duena. Beste bi ahultasunak, CVSS puntuazioak 6.9 eta 5.9 dutenak, ertaineko larritasuna dute eta VMware NSX-eko atebidearen suhesian eta bideratzailearen portuan kokatzen dira. Azken bi hauek arintzeko planifikazioa behar dute. Ahultasun hauen existentziak erasotzaile bati script txarrak exekutatzea ahalbidetuko lioke, VMware NSX softwarearen bidez kudeatutako informazioaren segurtasuna kalte eginez.

Eragindako baliabideak

  • VMware NSX (4.2.x, 4.2.1.x, 4.1.x, 4.0.x bertsioak)
  • VMware Cloud Foundation (5.2.x, 5.1.x, 5.0.x bertsioak)
  • VMware Telco Cloud Infrastructure (3.x, 2.x bertsioak)
  • VMware Telco Cloud Platform (5.x, 4.x, 3.x bertsioak)

Azterketa teknikoa

  • CVE-2025-22243: VMware NSX Manager erabiltzaile interfazea Cross-Site Scripting (XSS) gordindako eraso bati erasotzeko ahultasuna du, sarrera balioztapen oker bat dela eta.
    • CWE-79
    • CVSS: 7.5 (handia)
    • CVSS Bektorea: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:H
    • Explotazioa: Ez da antzeman
  • CVE-2025-22244: VMware NSX-ek ahultasun bat du Cross-Site Scripting (XSS) gordindako eraso bati erasotzeko, atebidearen suhesian, sarrera balioztapen oker bat dela eta.
    • CWE-79
    • CVSS: 6.9 (ertaina)
    • CVSS Bektorea: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:H/A:N
    • Explotazioa: Ez da antzeman
  • CVE-2025-22245: VMware NSX-ek hultasun bat du Cross-Site Scripting (XSS) gordindako eraso bati erasotzeko, bideratzailearen portuan, sarrera balioztapen ezegokia dela eta.
    • CWE-79
    • CVSS: 5.9 (ertaina)
    • CVSS Bektorea: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:L
    • Explotazioa: Ez da antzeman

Arintzea/Konponbidea

Fabrikatzaileak hainbat eguneraketa aplikatzea gomendatzen du VMware NSX, VMware Cloud Foundation eta VMware Telco Cloud Platform-en identifikatutako ahultasunak konpontzeko. CVE-2025-22243, CVE-2025-22244, eta CVE-2025-22245 ahultasuna konpontzeko VMware NSX-en, dagokion zuzenketa bertsioa aplikatu behar da: 4.2.x bertsiorako 4.2.2.1 da, 4.2.1.x bertsiorako 4.2.1.4 da, eta 4.1.x eta 4.0.x bertsioetarako 4.1.2.6 da. VMware Cloud Foundation-en (5.2.x, 5.1.x eta 5.0.x bertsioak), NSX 4.2.2.1-era eta NSX 4.1.2.6-era patch asinkronoa aplikatu behar da 5.2.x bertsiorako eta 5.1.x eta 5.0.x bertsioetarako, KB88287 patch asinkronoaren gidariaren arabera. VMware Telco Cloud Infrastructure (3.x, 2.x bertsioak) eta VMware Telco Cloud Platform (5.x, 4.x, 3.x bertsioak) eta, KB396986 aplikatu behar da. Ez dira aipatu segurtasun abisuaren konponbide alternatiboak.

Erreferentzia gehigarriak

Partekatu