Synthèse
VMware a publié des mises à jour de sécurité pour corriger une vulnérabilité « critique » dans son produit Aria Automation, anciennement connu sous le nom de vRealize Automation. Cette vulnérabilité, si elle est exploitée, pourrait permettre à un attaquant distant d’accéder à des données sensibles sur les systèmes cibles.
Risque
Impact estimé de la vulnérabilité sur la communauté de référence : ÉLEVÉ/ORANGE (66,53/100)1.
Typologie
- Security Restriction Bypass
- Information Disclosure
Produits et versions concernés
Automatisation de VMware Aria
- 8.14.x, versions antérieures à 8.14.1 + Patch
- 8.13.x, versions antérieures à 8.13.1 + Patch
- 8.12.x, versions antérieures à 8.12.2 + Patch
- 8.11.x, versions antérieures à 8.11.2 + Patch
VMware Cloud Foundation (Aria Automation)
- 5.x, versions antérieures à KB96136
- 4.x, versions antérieures à KB96136
Mesures d’atténuation
Conformément aux déclarations du fournisseur, il est recommandé d’appliquer les atténuations disponibles en suivant les indications rapportées dans le bulletin de sécurité dans la section Références.
Identificateurs de vulnérabilité uniques
Références
https://www.vmware.com/security/advisories/VMSA-2023-0012.html
1Cette estimation est réalisée en tenant compte de différents paramètres, parmi lesquels : CVSS, disponibilité des cpatch/workaround et PoC, diffusion des logiciels/appareils concernés dans la communauté de référence.
