7月10日VMware修补旗下云端自动化平台Aria Automation高风险漏洞CVE-2024-22280,此为SQL注入漏洞,起因是并未套用正确的输入验证产生,CVSS风险评分为8.5,影响8.17.0版以下的Aria Automation,以及4.x版、5.x版Cloud Foundation。
攻击者若要利用这项漏洞,可在通过身分验证的情况下,输入伪造的SQL查找指令,从而进行未经授权的数据库读取及写入作业。
对此,VMware针对8.13.0至8.16.2版发布修补程序,并表示没有其他替代的缓解措施,呼吁用户应尽速套用。