شرکت Broadcom (برودکام) سیاُم ژانویه ۲۰۲۵، بهروزرسانیهای امنیتی را منتشر کرده است که پنج آسیب پذیری که بر VMware Aria Operations و Aria Operations for Logs تأثیر میگذارند را برطرف میکند. مهاجمان میتوانند از این آسیب پذیریها برای دسترسی بیشتر یا بهدستآوردن اطلاعات حساس سوءاستفاده کنند.
VMware Aria Operations یک پلتفرم مدیریت عملکرد برای محیطهای فناوری اطلاعات است که به سازمانها کمک میکند تا عملکرد، در دسترس بودن و منابع سیستمهای خود را در محیطهای ابری و محیطهای مجازی نظارت کنند. این ابزار بهطور خاص برای نظارت و تجزیه و تحلیل عملکرد در زیرساختهای VMware طراحی شده است و به کاربران امکان میدهد تا مشکلات عملکردی را شناسایی و برطرف نمایند، همچنین میتواند به بهینهسازی منابع و افزایش کارایی کمک کند.
Aria Operations for Logs (که قبلاً با نام vRealize Log Insight شناخته میشد) نیز یک ابزار تحلیلی و مدیریت لاگ است که به سازمانها کمک میکند تا دادههای لاگ از سیستمهای مختلف خود را جمعآوری، تجزیه و تحلیل کنند. این ابزار بهویژه برای محیطهای ابری و مجازی طراحی شده و میتواند بهطور خودکار اطلاعات لاگ را از سرورها، برنامهها و دستگاهها استخراج کند.
آسیب پذیریهای مذکور، نسخههای 8.X نرم افزار را تحت تأثیر قرار میدهند و لیست آنها به شرح زیر میباشد:
- CVE-2025-22218 (امتیاز CVSS: 8.5) – یک مهاجم با دسترسی View Only Admin ممکن است قادر به خواندن دادههای لاگین و توکنهای دسترسی یک محصول VMware باشد که با VMware Aria Operations for Logs یکپارچه شده است. این آسیب پذیری میتواند اطلاعات حساس را فاش کند و به مهاجمان این امکان را میدهد که از آنها برای دسترسی به دادههای بیشتر سوءاستفاده کنند.
- CVE-2025-22219 (امتیاز CVSS: 6.8) – یک آسیب پذیری امنیتی است که به مهاجمان با سطح دسترسی غیرمدیریتی این امکان را میدهد که اسکریپت مخربی را تزریق کنند. این آسیب پذیری میتواند منجر به اجرای عملیات دلخواه به عنوان کاربر admin از طریق حمله XSS ذخیره شده[1] شود.
- CVE-2025-22220 (امتیاز CVSS: 4.3) – یک آسیب پذیری است که به مهاجمان با سطح دسترسی غیرمدیریتی و دسترسی به API Aria Operations for Logs این امکان را میدهد که عملیات خاصی را به عنوان یک کاربر admin انجام دهند.
- CVE-2025-22221 (امتیاز CVSS: 5.2) – یک آسیب پذیری است که به مهاجمان با سطح دسترسی Admin به VMware Aria Operations for Logs اجازه میدهد تا یک اسکریپت مخرب را تزریق کنند. این اسکریپت میتواند زمانی که کاربر اقدام به حذف پیکربندی Agent میکند، در مرورگر قربانی اجرا شود.
- CVE-2025-22222 (امتیاز CVSS: 7.7) – یک آسیب پذیری است که به مهاجمان با سطح دسترسی غیرمدیریتی این امکان را میدهد که دادههای حساس مانند دادههای لاگین سرویس مربوط به یک پلاگین خروجی (Outbound Plugin) را بازیابی کنند، مشروط بر اینکه شناسه لاگین سرویس (Service Credential ID)، برای مهاجم شناخته شده باشد.
پژوهشگران امنیتی مکسیم اسکوربیاک از Michelin CERT و یاسین بنگانا و کوانتین ایبل از Abicom که بخشی از تیم Michelin CERT هستند، به خاطر شناسایی و گزارش این آسیب پذیریها قدردانی شدند. شایان ذکر است که همین تیم، پیشتر دو آسیب پذیری دیگر را در همان محصول شناسایی کردند (CVE-2024-38832 و CVE-2024-38833) که در نوامبر 2024 گزارش شدهاند.
تمامی آسیب پذیریهای مذکور در نسخه 8.18.3 در VMware Aria Operations و Aria Operations for Logs برطرف شدهاند.
این هشدار چند روز پس از آن منتشر شد که Broadcom از یک آسیب پذیری با شدت بالا در VMware Avi Load Balancer (با شناسه CVE-2025-22217، امتیاز CVSS: 8.6) خبر داد که میتواند توسط مهاجمان برای دسترسی به پایگاهدادهها مورد سوءاستفاده قرار گیرد.
[1] Stored Cross-Site Scripting
