Broadcom در مورد یک نقص امنیتی با شدت بالا در VMware Avi Load Balancer هشدار داده است که میتواند توسط عوامل مخرب برای دستیابی به دسترسی به پایگاه داده مستقرشده مورداستفاده قرار گیرد.
این آسیبپذیری که بهعنوان CVE-2025-22217 (امتیاز ۸٫۶ در CVSS) ردیابی میشود، بهعنوان تزریق queryهای SQL احراز هویت نشده توصیف شده است.
این شرکت در گزارشی که روز سهشنبه ۲۸ ژانویه ۲۰۲۵ منتشر شد گفت[۱]: «یک کاربر مخرب با دسترسی به شبکه ممکن است بتواند از queryهای SQL ساختهشده ویژه برای دسترسی به پایگاه داده استفاده کند.»
محققین امنیتی Daniel Kukuczka و Mateusz Darda برای کشف و گزارش این آسیبپذیری تائید شدهاند.
این آسیبپذیری بر نسخههای زیر از نرمافزار تأثیر میگذارد:
- VMware Avi Load Balancer 30.1.1 (اصلاحشده در ۳۰٫۱٫۲-۲p2)
- VMware Avi Load Balancer 30.1.2 (اصلاحشده در ۳۰٫۱٫۲-۲p2)
- VMware Avi Load Balancer 30.2.1 (اصلاحشده در ۳۰٫۲٫۱-۲p5)
- VMware Avi Load Balancer 30.2.2 (اصلاحشده در ۳۰٫۲٫۲-۲p2)
Broadcom همچنین خاطرنشان کرد که نسخههای ۲۲٫x و ۲۱٫x مستعد ابتلا به CVE-2025-22217 نیستند و کاربرانی که نسخه ۳۰٫۱٫۱ را اجرا میکنند باید قبل از اعمال وصله، ابتدا به نسخه ۳۰٫۱٫۲ یا جدیدتر ارتقا دهند.
هیچ راهحلی وجود ندارد که این نقص را برطرف کند و لازم است مشتریان نرمافزارهای خود را برای محافظت بهینه به آخرین نسخه بهروز کنند.
منابع
[۱] https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25346
[۲] https://thehackernews.com/2025/01/broadcom-warns-of-high-severity-sql.html
ثبت ديدگاه