VMware ปล่อยตัวอัพเดทด้านความปลอดภัยเพื่ออุดช่องโหว่ 3 รายการบนตัว Aria Operations for Networks ที่เปิดช่องให้ข้อมูลรั่วไหล และโดนเข้ามารันโค้ดอันตรายจากระยะไกลได้ โดยช่องโหว่ที่ร้ายแรงสุดเป็นแบบที่เปิดให้ฝังคำสั่ง (Command Injection) รหัส CVE-2023-20887
ช่องโหว่นี้ได้คะแนนความร้ายแรงสูงถึง 9.8 ตามสเกล CVSS เพราะเปิดให้ผู้โจมตีที่อยู่บนเครือข่ายเข้ามารันโค้ดอันตรายจากระยะไกลได้ตรงๆ นอกจากนี้ก็มีช่องโหว่แบบ Deserialization รหัส CVE-2023-20888 ที่ได้คะแนนตามหลัก CVSS สูงถึง 9.1 ด้วย
ผลิตภัณฑ์ที่พบช่องโหว่เหล่านี้ได้แก่ VMware Aria Operations Networks เวอร์ชั่น 6.2, 6.3, 6.4, 6.5.1, 6.6, 6.7, 6.8, 6.9, และ 6.10 ต่อมาทางฝั่งซิสโก้ก็ไม่น้อยหน้า ออกแพ็ตช์อุดช่องโหว่ร้ายแรงบนทั้งตัว Expressway และ TelePresence Video Communication Server (VCS)
ช่องโหว่ของซิสโก้นี้เปิดให้ผู้โจมตีที่มีรหัสระดับแอดมินแบบ Read-only สามารถยกระดับสิทธิ์ตัวเองเป็นแอดมินแบบที่เขียนข้อมูลได้ เป็นช่องโหว่รหัส CVE-2023-20105 ได้คะแนนความร้ายแรงสูงถึง 9.6 ตามสเกล CVSS มาจากการตรวจคำร้องขอเปลี่ยนรหัสผ่านไม่ดีพอ
อ่านเพิ่มเติมทีนี่ – THN
