نرم افزار VMware نقص امنیتی بحرانی SQL-Injection را در محصول Aria Automation با شناسه CVE-2024-22280 برطرف کرده است. با استفاده از این آسیبپذیری، مهاجم احراز هویتشده میتواند با وارد کردن کوئریهای یک SQL خاص از این نقص امنیتی بهرهبرداری کرده و به صورت غیرمجاز، پایگاه داده عملیات خواندن یا نوشتن را انجام دهد.
آسیبپذیریهای بحرانی در VMware ESXi و vCenter Server شناسایی شده که میتواند به مهاجمان اجازه دهد کنترل کاملی بر هاستهای ESXi به دست آورند یا به vCenter Server دسترسی پیدا کنند.
پچ سه آسیبپذیری بحرانی در سرورهای vCenter محصول شرکت VMware منتشر گردید. این آسیبپذیریها که شناسههای CVE-2024-37079 با امتیاز 9.8 (بحرانی)، CVE-2024-37080 با امتیاز 9.8 (بحرانی) و CVE-2024-37081 با امتیاز 7.8 (شدت بالا) به آنها اختصاص داده شده است، نقصهای امنیتی اجرای کد از راه دور و افزایش امتیاز محلی میباشند.
نرمافزار VMware vCenter Server یک پلتفرم مدیریت مرکزی برای VMware vSphere است که به کاربران امکان مدیریت ماشینهای مجازی و میزبانهای ESXi را میدهد.
چندین نقص امنیتی در محصولات VMware Workstation و Fusion افشا شده که هکرها می توانند با سوء استفاده از آنها به اطلاعات حساس سیستم ها دسترسی پیدا کنند و یا برای انجام حملات DDoS از آنها بهره برداری کنند. این آسیبپذیریها در مسابقه Pwn2Own در ونکوور شناسایی شده اند.
ارائهدهنده سرویس مجازیساز متعلق به Broadcom گفت: "چهار آسیبپذیری در نسخههای Workstation 17.x و Fusion 13.xشناسایی شده است که به ترتیب در نسخههای 17.5.2 و 13.5.2 رفع شدهاند". این آسیب پذیری ها عبارتند از:
پچ آسیب پذیری نسخه های 17.5.2 و 13.5.2 منتشر شده است، اما راهحل موقت غیرفعال کردن بلوتوث و 3D acceleration می باشد.