Broadcom ha alertado sobre una falla de seguridad de alta severidad en el equilibrador de carga VMware AVI que podría ser armado por actores maliciosos para obtener acceso a la base de datos arraigado.
La vulnerabilidad, rastreada como CVE-2025-22217 (puntaje CVSS: 8.6), se ha descrito como una inyección SQL ciega no autenticada.
«Un usuario malicioso con acceso a la red puede usar consultas SQL especialmente diseñadas para obtener acceso a la base de datos», dijo la compañía en un aviso emitido el martes.
Los investigadores de seguridad Daniel Kukuczka y Mateusz Darda han sido reconocidos por descubrir e informar la vulnerabilidad.
Afecta la siguiente versión del software –
- VMware AVI Load Balancer 30.1.1 (fijo en 30.1.2-2p2)
- VMware AVI Load Balancer 30.1.2 (fijo en 30.1.2-2p2)
- VMware AVI Load Balancer 30.2.1 (fijo en 30.2.1-2p5)
- VMware AVI Load Balancer 30.2.2 (fijo en 30.2.2-2p2)
Broadcom señaló además que las versiones 22.x y 21.x no son susceptibles a CVE-2025-22217, y que los usuarios que ejecutan la versión 30.1.1 primero deben actualizarse a 30.1.2 o posterior antes de aplicar el parche.
No hay soluciones que aborden la deficiencia, lo que requiere que los clientes actualicen sus instancias a la última versión para una protección óptima.