Im Avi Load Balancer von VMware klafft eine Sicherheitslücke, durch die Angreifer SQL-Befehle einschleusen können. Dadurch können sie auf die Datenbank zugreifen und davon ausgehend weiteren Schaden anrichten. Ein Update steht bereit.
Anzeige
In der Sicherheitsmitteilung schreibt Broadcom, dass in Avi Load Balancer eine SQL-Injection-Schwachstelle ohne vorherige Authentifizierung entdeckt wurde. Die Entwickler haben die Lücke evaluiert und als "wichtig" eingestuft – die Lücke CVE-2025-22217 kommt jedoch auf einen CVSS-Wert von 8.6 und liegt damit am oberen Ende für "hohes" Risiko.
"Bösartige Nutzer mit Netzwerkzugriff können speziell präparierte SQL-Anfragen senden, um Datenbankzugriff zu erlangen", erörtern die Entwickler lediglich. Wie genau solche Anfragen aussehen oder wie die sich filtern lassen, oder gar andere temporäre Gegenmaßnahmen zur Abmilderung der Auswirkungen des Sicherheitslecks beschreibt VMware nicht.
Offenbar sind die potenziellen Datenbankzugriffe weitreichend, was die Risikoeinstufung nahelegt. Möglicherweise sind beispielsweise Zugriffe auch auf die Nutzerdatenbank möglich, wodurch sich weiterer Zugang verschaffen ließe – VMware lässt das jedoch im Dunkeln.
VMware empfiehlt, zum Schließen der Sicherheitslücke die verfügbaren Patches für die Avi-Controller zu installieren. Die Version VMware Avi Load Balancer 30.1.2-2p2 stopft das Leck für die anfälligen Fassungen 301.1 und 301.2. Zudem stellt VMware die fehlerbereinigten Stände 30.2.1-2p5 sowie 30.2.2-2p2 bereit. Die Versionszweige 21.x und 22.x sollen nicht verwundbar sein. Avi Load Balancer 30.1.1 muss zunächst auf 30.1.2 oder neuer gebracht werden, erst danach lässt sich der Patch anwenden.
VMware-Produkte stehen bei Cyberkriminellen weit vorn auf der Liste der anzugreifenden Software. Etwa Mitte vergangenen November haben Angreifer in freier Wildbahn Sicherheitslücken im vCenter Server missbraucht. IT-Verantwortliche sollten die Aktualisierungen daher zügig anwenden.