VMSA-2025-0002 VMware Avi Load Balancer'da Kimlik Doğrulaması Olmayan Blind SQL Enjeksiyonu Güvenlik Açığı (CVE-2025-22217)

Advisory ID: VMSA-2025-0002
CVSSv3 Range: 8.6
Issue Date: 28 Ocak 2025
Updated On: 28 Ocak 2025
- CVE-2025-22217
- Synopsis: Broadcom’un 28 Ocak 2025 tarihinde yayımladığı güvenlik danışma belgesine göre, VMware Avi Load Balancer ürününde kimlik doğrulaması gerektirmeyen bir “blind SQL enjeksiyonu” (CVE-2025-22217) güvenlik açığı tespit edilmiştir.

Etkilenen Ürünler
- VMware Avi Load Balancer
Giriş
VMware Avi Load Balancer ürününde, kimlik doğrulaması gerektirmeyen bir “blind SQL enjeksiyonu” güvenlik açığı (CVE-2025-22217) tespit edilmiştir. Bu açık, saldırganların özel olarak hazırlanmış SQL sorguları kullanarak veritabanına erişim sağlamasına olanak tanır. VMware, etkilenen ürünler için yamalar yayımlamıştır ve kullanıcıların sistemlerini güncellemeleri önerilmektedir.

3. VMware Avi Load Balancer Blind SQL Enjeksiyonu

CVE-2025-22217
- VMware Avi Load Balancer ürününde, kimlik doğrulaması gerektirmeyen bir “blind SQL enjeksiyonu” güvenlik açığı (CVE-2025-22217) tespit edilmiştir. VMware, bu güvenlik açığının önem derecesini yüksek olarak değerlendirmiş ve CVSSv3 taban puanını 8.6 olarak belirlemiştir.
- Bilinen Saldırı Vektörleri: Ağ erişimine sahip kötü niyetli bir kullanıcı, özel olarak hazırlanmış SQL sorguları kullanarak veritabanına erişim sağlayabilir.

VMware’in Çözüm Önerisi

CVE-2025-22217 güvenlik açığını gidermek için, aşağıdaki “Yanıt Matrisi”nde belirtilen “Düzeltilmiş Sürüm” sütunundaki yamaları Avi Controller’a uygulayın.

Response Matrix:

Product	Version	Running On	CVE	CVSSv3	Severity	Fixed Version	Workarounds	Additional Documents
VMware Avi Load Balancer	30.1.1	Any	CVE-2025-22217	8.6	Important	30.1.2-2p2	None	None
VMware Avi Load Balancer	30.1.2	Any	CVE-2025-22217	8.6	Important	30.1.2-2p2	None	None
VMware Avi Load Balancer	30.2.1	Any	CVE-2025-22217	8.6	Important	30.2.1-2p5	None	None
VMware Avi Load Balancer	30.2.2	Any	CVE-2025-22217	8.6	Important	30.2.2-2p2	None	None