VMSA-2025-0001: VMware Aria Automation'da Sunucu Taraflı İstek Sahtekarlığı (SSRF) Güvenlik Açığı

Advisory ID: VMSA-2025-0001
CVSSv3 Range: 4.3
Issue Date: 07 Ocak 2025
Updated On: 07 Ocak 2025
- CVE-2025-22215
- Synopsis: VMware Aria Automation’da tespit edilen bir sunucu taraflı istek sahtekarlığı (SSRF) güvenlik açığı (CVE-2025-22215) hakkında Broadcom, 7 Ocak 2025 tarihinde bir güvenlik danışma belgesi yayımlamıştır.

Etkilenen Ürünler
- VMware Aria Operations
Giriş
VMware Aria Automation’da sunucu taraflı istek sahtekarlığı (SSRF) güvenlik açığı sorumlu bir şekilde VMware’e bildirildi. Etkilenen VMware ürünlerindeki bu güvenlik açığını gidermek için yamalar mevcuttur.

VMSA-2025-0001 VMware Aria Automation’da SSRF güvenlik açığı (CVE-2025-22215)

VMware Aria Automation’da sunucu taraflı istek sahtekarlığı (SSRF) güvenlik açığı bulunmaktadır. VMware, bu sorunun ciddiyetini Orta seviye olarak değerlendirmiş ve maksimum CVSSv3 taban puanını 4.3 olarak belirlemiştir.

Bilinen Saldırı Vektörleri: “Organizasyon Üyesi” erişimine sahip kötü niyetli bir aktör, bu güvenlik açığından yararlanarak ana makine veya ağ üzerinde çalışan dahili hizmetleri listeleyebilir.

VMware’in Çözüm Önerisi

VMware, kullanıcıların aşağıdaki tabloda belirtilen sürümleri hemen uygulamalarını önermektedir.

Response Matrix:

Product	Version	Running On	CVE	CVSSv3	Severity	Fixed Versions	Workarounds	Additional Documentats
VMware Aria Automation	8.x	Any	CVE-2025-22215	4.3	Moderate	8.18.1 patch 1	None	None
VMware Cloud Foundation	5.x, 4.x	Any	CVE-2025-22215	4.3	Moderate	KB 385294	None	None