Origine : bjCSIRT
Numéro : 2023/ALERTE/006
Date de l’alerte : 02/01/2023
APERÇU :
Vmware Vrealize Log Insight, présente une vulnérabilité de classe path transversal qui permettrait à un acteur malveillant de manipuler des paramètres HTTP, en utilisant la requête GET.
DESCRIPTION :
VMWare Vrealize Log Insight est une application logicielle de collecte et d’analyse de journaux qui permet aux administrateurs une surveillance en temps réel des journaux d’application, des traces réseau, des fichiers de configuration et des données de performance. Elle présente une vulnérabilité de type Path transversal, nommée CVE-2022-31706 et a été publiée le 25/01/2023.
Avec ladite vulnérabilité, un acteur malveillant authentifié pourrait modifier le profil de n’importe quel autre utilisateur ou encore modifier l’url, dans le but d’inclure et d’avoir des dossiers ou des fichiers sensibles dans une page web.
Cette vulnérabilité est de sévérité Elevée et son score CVSSv3 est de 9,8.
IMPACT :
- Exfiltration des données sensibles.
- Accès à des fonctionnalités restreintes.
SYSTEMES AFFECTÉS :
- VMWare Vrealize Log Insight 8.10.1 et versions antérieures
MESURES À PRENDRE :
- Mettre à jour VMWare Vrealize Log Insight vers sa version 8.10.2.
REFERENCES :
