VMware Aria-Schwachstellen ermöglichen Erhöhung der Zugriffsrechte
VMware hat Updates für VMware Aria Operations for Networks herausgegeben. Sie dichten Sicherheitslecks ab, die etwa die Ausweitung der Rechte ermöglichen.
VMware aktualisiert seine Software.
(Bild: heise online / dmk)
Insgesamt fünf Sicherheitslücken dichtet VMware in Aria Operations for Networks – ehemals mit dem Namen vRealize im Umlauf – mit aktualisierter Software ab. Der Schweregrad reicht nach Einschätzung der Entwickler des Unternehmens bis zur Risikostufe "hoch". Bösartige Akteure können durch die Schwachstellen unbefugt ihre Rechte an verwundbaren Systemen erhöhen.
In einer Sicherheitsmitteilung erläutert VMware die Sicherheitslecks näher. So können Nutzerinnen und Nutzer an der Konsole von Aria Operations for Networks eine Schwachstelle auf nicht näher erläutertem Weg missbrauchen, um ihre Rechte auf root auszuweiten (CVE-2024-22237, CVSS 7.8, Risiko "hoch"). Die weiteren Lücken umfassen eine Cross-Site-Scripting-Schwachstelle (CVE-2024-22238, CVSS 6.4, mittel), ein weiteres Leck zur Rechteausweitung im System (CVE-2024-22239, CVSS 5.3, mittel), unbefugte Dateizugriffe mit potenziellem Leck sensibler Informationen (CVE-2024-22240, CVSS 4.9, mittel) sowie eine weitere Cross-Site-Scripting-Lücke (CVE-2024-22241, CVSS 4.3, mittel).
Aktualisierte VMware-Software
Betroffen sind die Aria Operations for Networks-Versionen 6.x auf allen unterstützten Plattformen. Die Version 6.12 enthält die Schwachstellen nicht mehr. VMware hat sie am Dienstag dieser Woche zum Herunterladen auf der Webseite bereitgestellt.
IT-Verantwortliche sollten die bereitgestellten Aktualisierungen rasch installieren, um die potenzielle Angriffsfläche zu minimieren.
Mitte Januar hatte VMware zuletzt in VMware Aria Automation Schwachstellen ausgebessert. Sie ermöglichten bösartigen Akteuren ebenfalls das unbefugte Erweitern der Rechte.
(dmk)
