VMware ออกแพตซ์แก้ไขช่องโหว่ใน Avi Load Balancer

VMware แจ้งเตือนถึงช่องโหว่ Blind SQL Injection ที่มีความรุนแรงระดับ High โดยมีหมายเลข CVE-2025-22217 (คะแนน CVSS อยู่ที่ 8.6) ใน Avi Load Balancer ซึ่งช่วยให้ผู้โจมตีที่มีสิทธิ์เข้าถึงเครือข่ายสามารถใช้คำสั่งที่เป็นอันตรายโจมตีฐานข้อมูลได้

ในคำแนะนำด้านความปลอดภัยระบุว่า "VMware AVI Load Balancer มีช่องโหว่ unauthenticated blind SQL Injection ทำให้ผู้โจมตีที่สามารถเข้าถึงเครือข่ายได้ สามารถใช้คำสั่ง SQL ที่ถูกปรับแต่งมาเป็นพิเศษเพื่อเข้าถึงฐานข้อมูลได้"

VMware Avi Load Balancer เดิมชื่อ Avi Vantage เป็น Application Delivery Controller (ADC) รุ่นใหม่ที่ให้บริการ Load Balancing, การวิเคราะห์แอปพลิเคชัน และ Security สำหรับสภาพแวดล้อมแบบ Multi-Cloud สมัยใหม่ แตกต่างจาก Load Balancer แบบฮาร์ดแวร์ทั่วไป เพราะเป็น Software-Defined และสามารถทำงานบน Public Cloud, Private Cloud และ Hybrid Cloud ได้

ช่องโหว่นี้เป็น unauthenticated blind SQL Injection ซึ่งถูกรายงานเป็นการส่วนตัวไปยังบริษัท VMware โดย Daniel Kukuczka และ Mateusz Darda

บริษัทระบุว่า ยังไม่มีวิธีแก้ไขปัญหาชั่วคราวสำหรับช่องโหว่นี้ และแนะนำให้ลูกค้าดำเนินการแก้ไขโดยการอัปเดตแพตซ์โดยเร็วที่สุด

ช่องโหว่นี้ส่งผลกระทบต่อ Avi Load Balancer เวอร์ชัน 30.1.1, 30.1.2, 30.2.1 และ 30.2.2 โดยขณะนี้มีแพตช์ความปลอดภัยที่สามารถอัปเดตได้แล้วทั้งหมด

ที่มา : securityaffairs