在最近的一份安全公告中，Broadcom 披露了一个影响 VMware HCX 的重大 SQL 注入漏洞 (CVE-2024-38814)，VMware HCX 是多云基础架构中用于实现应用程序迁移和灾难恢复的关键组件。该漏洞的 CVSS 得分为 8.8，属于 “重要 ”严重性类别，表明如果不打补丁，被利用的风险很高。

该漏洞是 VMware 私人报告的，涉及一个验证 SQL 注入漏洞，具有非管理员权限的恶意用户可利用该漏洞。正如公告中详述的那样，“具有非管理员权限的恶意验证用户可能能够输入特制的 SQL 查询，并在 HCX 管理器上执行未经授权的远程代码执行”。这意味着即使是低权限用户也有可能控制受影响的系统，从而导致数据泄露或服务中断等严重后果。

VMware 感谢 Summoning 团队的 Sina Kheirkhah 与趋势科技的 “零日计划”（ZDI）合作，发现并报告了这一漏洞。

该公告列出了多个受影响的 VMware HCX 版本，包括 4.10.x、4.9.x 和 4.8.x。为缓解该漏洞，VMware 建议应用以下补丁：

• VMware HCX 4.10.x： 更新至版本 4.10.1
• VMware HCX 4.9.x： 更新至版本 4.9.2
• VMware HCX 4.8.x: 更新至版本 4.8.3 更新至版本 4.8.3

VMware 强调立即打补丁的重要性，因为该漏洞没有可用的解决方法。“要修复 CVE-2024-38814，请打上补丁”，该公告敦促道，并强调了企业保护其环境的紧迫性。