Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-08691

Опубликовано: 24 июл. 2024
Источник: fstec
CVSS3: 8.8
CVSS2: 9
EPSS Средний

Описание

Уязвимость реализации метода listExtensions программного средства миграции виртуальных машин VMware Hybrid Cloud Extension (HCX) связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью специально созданного SQL-запроса

Вендор

VMware Inc.

Наименование ПО

VMware Hybrid Cloud Extension (HCX)

Версия ПО

от 4.9.0 до 4.9.2 (VMware Hybrid Cloud Extension (HCX))
от 4.8.0 до 4.8.3 (VMware Hybrid Cloud Extension (HCX))
4.10.0 (VMware Hybrid Cloud Extension (HCX))

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25019

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 96%
0.26077
Средний

8.8 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-38814

CVSS3: 8.8
nvd
больше 1 года назад

An authenticated SQL injection vulnerability in VMware HCX was privately reported to VMware. A malicious authenticated user with non-administrator privileges may be able to enter specially crafted SQL queries and perform unauthorized remote code execution on the HCX manager.  Updates are available to remediate this vulnerability in affected VMware products.

github логотип

GHSA-ffhg-6h3q-652p

CVSS3: 8.8
github
больше 1 года назад

An authenticated SQL injection vulnerability in VMware HCX was privately reported to VMware. A malicious authenticated user with non-administrator privileges may be able to enter specially crafted SQL queries and perform unauthorized remote code execution on the HCX manager.  Updates are available to remediate this vulnerability in affected VMware products.

EPSS

Процентиль: 96%
0.26077
Средний

8.8 High

CVSS3

9 Critical

CVSS2