Broadcom publikuje biuletyn bezpieczeństwa dla VMware VMSA-2025-0003 (P25-035)

cert.pse-online.pl 2 tygodni temu

Produkt	VMware Aria Operations for logs – wersje 8.x wcześniejsze niż 8.18.3 VMware Aria Operations – wersje 8.x wcześniejsze niż 8.18.3 VMware Cloud Foundation – wersje 4.x i 5.x (KB 92148)
Numer CVE	CVE-2025-22218
Krytyczność	8.5/10
CVSS	AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H
Opis	Luka umożliwia zdalnemu użytkownikowi uzyskanie dostępu do potencjalnie poufnych informacji. Luka istnieje z powodu nadmiernego wyprowadzania danych przez aplikację. Zdalny użytkownik z uprawnieniami View Only Admin może odczytać dane uwierzytelniające produktu VMware zintegrowanego z VMware Aria Operations for Logs.

Numer CVE	CVE-2025-22219
Krytyczność	6.8/10
CVSS	AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:H
Opis	Ujawniona luka umożliwia zdalnemu użytkownikowi wykonywanie ataków typu cross-site scripting (XSS). Luka istnieje z powodu niewystarczającej sanityzacji danych dostarczonych przez użytkownika. Zdalny użytkownik może wstrzykiwać i wykonywać dowolny kod HTML i skrypt w przeglądarce administratora w kontekście podatnej witryny.

Numer CVE	CVE-2025-22220
Krytyczność	4.3/10
CVSS	AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
Opis	Luka umożliwia zdalnemu użytkownikowi eskalację uprawnień w aplikacji. Luka istnieje z powodu niewłaściwego zarządzania uprawnieniami. Zdalny użytkownik może wykonywać pewne operacje w kontekście użytkownika admin.

Numer CVE	CVE-2025-22221
Krytyczność	5.2/10
CVSS	AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:L/A:N
Opis	Ujawniona luka umożliwia zdalnemu użytkownikowi wykonywanie ataków typu cross-site scripting (XSS). Luka istnieje z powodu niewystarczającej sanityzacji danych dostarczonych przez użytkownika. Zdalny użytkownik z uprawnieniami może wstrzykiwać i wykonywać dowolny kod HTML i skrypt w przeglądarce użytkownika w kontekście podatnej witryny.

Numer CVE	CVE-2025-22222
Krytyczność	7.7/10
CVSS	AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N
Opis	Złośliwy użytkownik bez uprawnień administracyjnych może wykorzystać tę lukę w zabezpieczeniach w celu uzyskania danych uwierzytelniających dla wtyczki wychodzącej, jeżeli znany jest prawidłowy identyfikator danych uwierzytelniających usługi.

Aktualizacja	TAK
Link	https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25329