Broadcom telah merilis pembaruan keamanan untuk menambal lima kelemahan keamanan yang berdampak pada operasi ARIA VMware dan operasi ARIA untuk log, memperingatkan pelanggan bahwa penyerang dapat mengeksploitasi mereka untuk mendapatkan akses tinggi atau mendapatkan informasi sensitif.
Daftar kelemahan yang diidentifikasi, yang memengaruhi versi 8.x dari perangkat lunak, ada di bawah –
- CVE-2025-22218 (Skor CVSS: 8.5) – Aktor jahat dengan tampilan hanya izin admin yang dapat membaca kredensial produk VMware yang terintegrasi dengan operasi ARIA VMware untuk log untuk log
- CVE-2025-22219 (Skor CVSS: 6.8)-Aktor jahat dengan hak istimewa non-administratif mungkin dapat menyuntikkan skrip jahat yang dapat menyebabkan operasi sewenang-wenang sebagai pengguna admin melalui serangan scripting lintas situs (XSS) yang disimpan
- CVE-2025-22220 (Skor CVSS: 4.3) – Aktor jahat dengan hak istimewa non -administratif dan akses jaringan ke operasi ARIA untuk Log API mungkin dapat melakukan operasi tertentu dalam konteks pengguna admin
- CVE-2025-22221 (Skor CVSS: 5.2) – Aktor jahat dengan hak istimewa admin untuk operasi ARIA VMware untuk log mungkin dapat menyuntikkan skrip jahat yang dapat dieksekusi di browser korban saat melakukan tindakan hapus dalam konfigurasi agen
- CVE-2025-22222 (Skor CVSS: 7.7) – Pengguna jahat dengan hak istimewa non -administratif dapat mengeksploitasi kerentanan ini untuk mengambil kredensial untuk plugin keluar jika ID kredensial layanan yang valid diketahui diketahui
Peneliti keamanan Maxime Escourbiac dari Michelin Cert, dan Yassine Bengana dan Quentin Ebel dari Abicom dan bagian dari tim Michelin Cert untuk mendeteksi dan melaporkan kekurangan. Perlu dicatat bahwa tim yang sama melihat dua kekurangan lainnya dalam produk yang sama (CVE-2024-38832 dan CVE-2024-38833) pada akhir November 2024.
Semua kerentanan yang disebutkan di atas telah ditambal dalam operasi ARIA VMware dan operasi ARIA untuk log versi 8.18.3. Penyedia layanan virtualisasi tidak menyebutkan masalah ini dieksploitasi di alam liar.
Penasihat datang beberapa hari setelah Broadcom memperingatkan cacat keamanan tingkat tinggi di VMware Avi Load Balancer (CVE-2025-22217, skor CVSS: 8.6) yang dapat dipersenjatai oleh aktor jahat untuk mendapatkan akses basis data.
