Premier Ministre

S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 29 novembre 2024

N° CERTFR-2024-AVI-1027

Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans VMware Aria Operations

Gestion du document

Référence	CERTFR-2024-AVI-1027
Titre	Multiples vulnérabilités dans VMware Aria Operations
Date de la première version	29 novembre 2024
Date de la dernière version	29 novembre 2024
Source(s)	Bulletin de sécurité VMware 25199 du 26 novembre 2024
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

Injection de code indirecte à distance (XSS)
Élévation de privilèges

Systèmes affectés

Aria Operations versions 8.x antérieures à 8.18.2
Cloud Foundation versions 5.x et 4.x avec Aria Operations versions antérieures à 8.18.2

Résumé

De multiples vulnérabilités ont été découvertes dans VMware Aria Operations. Elles permettent à un attaquant de provoquer une élévation de privilèges et une injection de code indirecte à distance (XSS).

Solutions

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité VMware 25199 du 26 novembre 2024

https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25199

Référence CVE CVE-2024-38830

https://www.cve.org/CVERecord?id=CVE-2024-38830

Référence CVE CVE-2024-38831

https://www.cve.org/CVERecord?id=CVE-2024-38831

Référence CVE CVE-2024-38832

https://www.cve.org/CVERecord?id=CVE-2024-38832

Référence CVE CVE-2024-38833

https://www.cve.org/CVERecord?id=CVE-2024-38833

Référence CVE CVE-2024-38834

https://www.cve.org/CVERecord?id=CVE-2024-38834

Gestion détaillée du document

le 29 novembre 2024: Version initiale