VMware Aria Automation terkena celah keamanan SQL injection kritis
Kerentanan ini pertama kali dilaporkan oleh peneliti keamanan Alexandre Lavoie dan Felix Boulet dari Centre Gouvernemental de Cyberdéfense (CGCD) di Quebec.
VMware telah mengeluarkan pembaruan keamanan penting untuk menanggulangi kerentanan SQL injection kritis pada produk Aria Automation. Kerentanan ini, yang teridentifikasi dengan kode CVE-2024-22280, berpotensi memungkinkan penyerang terautentikasi melakukan operasi basis data yang tidak sah.
Dilansir dari Cybersecurity News (14/7), kerentanan ini memengaruhi VMware Aria Automation versi 8.x serta VMware Cloud Foundation versi 5.x dan 4.x. Dengan skor keparahan CVSS mencapai 8,5 dari 10, ini menandakan bahwa kerentanan tersebut sangat serius dan perlu segera diatasi.
Menurut laporan resmi VMware, kelemahan ini disebabkan oleh validasi input yang tidak memadai pada Aria Automation. Hal ini memungkinkan pengguna berbahaya yang telah terautentikasi untuk memasukkan perintah SQL yang dirancang khusus, yang dapat mengakibatkan operasi baca dan tulis yang tidak sah pada basis data.
Kerentanan ini pertama kali dilaporkan oleh peneliti keamanan Alexandre Lavoie dan Felix Boulet dari Centre Gouvernemental de Cyberdéfense (CGCD) di Quebec. Laporan ini diberikan secara pribadi kepada VMware, yang kemudian merespons dengan mengembangkan dan merilis patch keamanan.
VMware dengan tegas menyarankan semua pengguna Aria Automation untuk segera memperbarui sistem mereka ke versi terbaru. Untuk pengguna yang masih menggunakan versi sebelum 8.17.0, patch khusus telah disediakan.