VMware heeft kwetsbaarheden verholpen in VMware Aria Operations. De kwetsbaarheden omvatten een informatielek dat kwaadwillenden met View Only Admin-rechten in staat stelt om mogelijk de inloggegevens van geïntegreerde VMware-producten te lezen. Daarnaast is er een opgeslagen cross-site scripting-kwetsbaarheid die niet-administratieve gebruikers in staat stelt om kwaadaardige scripts in te voegen, wat kan leiden tot ongeautoriseerde toegang en acties. Een privilege-escalatiekwetsbaarheid stelt kwaadwillenden met niet-administratieve rechten in staat om operaties uit te voeren als een admin-gebruiker. Bovendien kan een andere opgeslagen cross-site scripting-kwetsbaarheid door een administrator worden misbruikt tijdens een verwijderactie, wat de browser van het slachtoffer kan beïnvloeden. Tot slot kan een informatielek kwaadwillenden met niet-administratieve rechten in staat stellen om inloggegevens voor een uitgaande plugin te verkrijgen, mits zij een geldig service credential ID kennen.
ncsc
31-01-2025 13:25