42/68 (IT) ประจำวันพฤหัสบดีที่ 30 มกราคม 2568
VMware ได้ออกแพตช์แก้ไขช่องโหว่ CVE-2025-22217 ซึ่งเป็น Blind SQL Injection ที่มีคะแนนความรุนแรง CVSS 8.6 ซึ่งช่องโหว่นี้เปิดโอกาสให้ผู้โจมตีที่เข้าถึงเครือข่ายสามารถส่งคำสั่ง SQL ที่ปรับแต่งพิเศษเพื่อเข้าถึงฐานข้อมูลของระบบได้ โดยไม่ต้องยืนยันตัวตน
Avi Load Balancer หรือชื่อเดิม Avi Vantage เป็นโซลูชัน Application Delivery Controller (ADC) แบบ Software-Defined ที่รองรับการทำงานบน Multi-Cloud ทั้งคลาวด์สาธารณะ คลาวด์ส่วนตัว และไฮบริดคลาวด์ ช่องโหว่นี้ได้รับการรายงานโดย Daniel Kukuczka และ Mateusz Darda ซึ่งทาง VMware ยืนยันว่าไม่มีวิธีแก้ไขชั่วคราว
ช่องโหว่ดังกล่าวส่งผลกระทบต่อ Avi Load Balancer เวอร์ชัน 30.1.1, 30.1.2, 30.2.1 และ 30.2.2 โดยในขณะนี้ VMware ได้ออกแพตช์ความปลอดภัย ให้ผู้ใช้สามารถอัปเดตเพื่อป้องกันการโจมตีแล้ว พร้อมแนะนำให้รีบดำเนินการแก้ไขโดยเร็วที่สุด
แหล่งข่าว https://securityaffairs.com/173569/security/vmware-fixed-avi-load-balancer-flaw.html
