Broadcom met en garde contre une faille d’injection SQL de grande gravité dans VMware Avi Load Balancer
Broadcom a alerté d’une faille de sécurité de haute gravité dans VMware Avi Load Balancer qui pourrait être exploitée par des acteurs malveillants pour obtenir un accès à une base de données bien établie.
La vulnérabilité, identifiée comme CVE-2025-22217 (score CVSS : 8,6), a été décrite comme une injection SQL aveugle non authentifiée.
« Un utilisateur malveillant disposant d’un accès au réseau peut être en mesure d’utiliser des requêtes SQL spécialement conçues pour accéder à la base de données », a déclaré la société dans un avis publié mardi.
Les chercheurs en sécurité Daniel Kukuczka et Mateusz Darda ont été reconnus pour avoir découvert et signalé la vulnérabilité.
Cela affecte la version suivante du logiciel –
- VMware Avi Load Balancer 30.1.1 (corrigé dans 30.1.2-2p2)
- VMware Avi Load Balancer 30.1.2 (corrigé dans 30.1.2-2p2)
- VMware Avi Load Balancer 30.2.1 (corrigé dans 30.2.1-2p5)
- VMware Avi Load Balancer 30.2.2 (corrigé dans 30.2.2-2p2)
Broadcom a également noté que les versions 22.x et 21.x ne sont pas sensibles au CVE-2025-22217, et que les utilisateurs exécutant la version 30.1.1 doivent d’abord effectuer une mise à niveau vers la version 30.1.2 ou une version ultérieure avant d’appliquer le correctif.
Il n’existe aucune solution de contournement pour remédier à cette lacune, ce qui oblige les clients à mettre à jour leurs instances vers la dernière version pour une protection optimale.
