BDU:2025-03164

Опубликовано: 07 янв. 2025

Источник: fstec

CVSS3: 4.3

CVSS2: 4

EPSS Низкий

Описание

Уязвимость программного средства автоматизации VMware Aria Automation (ранее vRealize Automation) и платформы виртуализации VMware Cloud Foundation связана с недостаточной проверкой поступающих запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществить SSRF-атаку путем отправки специально созданного HTTP-запроса

Вендор

VMware Inc.

Наименование ПО

VMware Aria Automation

VMware Cloud Foundation

Версия ПО

от 8.0 до 8.18.1 patch 1 (VMware Aria Automation)

от 4.0 до KB 385294 (VMware Cloud Foundation)

от 5.0 до KB 385294 (VMware Cloud Foundation)

Тип ПО

ПО виртуализации/ПО виртуального программно-аппаратного средства

Сетевое программное средство

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25312

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-22215
CVE

EPSS

Процентиль: 30%

0.00109

Низкий

4.3 Medium

CVSS3

4 Medium

CVSS2

Связанные уязвимости

CVE-2025-22215

CVSS3: 4.3

nvd

около 1 года назад

VMware Aria Automation contains a server-side request forgery (SSRF) vulnerability. A malicious actor with "Organization Member" access to Aria Automation may exploit this vulnerability enumerate internal services running on the host/network.

GHSA-wgc3-34qh-3h44

CVSS3: 4.3

github

около 1 года назад

EPSS

Процентиль: 30%

0.00109

Низкий

4.3 Medium

CVSS3

4 Medium

CVSS2