Broadcom ha alertado de una falla de seguridad de alta gravedad en VMware Avi Load Balancer que podría ser utilizada como arma por actores maliciosos para obtener acceso a bases de datos arraigadas.
La vulnerabilidad, rastreada como CVE-2025-22217 (puntuación CVSS: 8,6), se ha descrito como una inyección SQL ciega no autenticada.
"Un usuario malintencionado con acceso a la red puede ser capaz de utilizar consultas SQL especialmente diseñadas para obtener acceso a la base de datos", dijo la compañía en un aviso emitido el martes.
Los investigadores de seguridad Daniel Kukuczka y Mateusz Darda han sido reconocidos por descubrir e informar sobre la vulnerabilidad.
Afecta a la siguiente versión del software:
- VMware Avi Load Balancer 30.1.1 (corregido en 30.1.2-2p2)
- VMware Avi Load Balancer 30.1.2 (corregido en 30.1.2-2p2)
- VMware Avi Load Balancer 30.2.1 (corregido en 30.2.1-2p5)
- VMware Avi Load Balancer 30.2.2 (corregido en 30.2.2-2p2)
Broadcom señaló además que las versiones 22.x y 21.x no son susceptibles a CVE-2025-22217, y que los usuarios que ejecutan la versión 30.1.1 deben actualizar primero a la 30.1.2 o posterior antes de aplicar el parche.
No hay soluciones alternativas que solucionen la deficiencia, lo que requiere que los clientes actualicen sus instancias a la versión más reciente para una protección óptima.
Fuente: Broadcom advierte sobre una falla de inyección SQL de alta gravedad en VMware Avi Load Balancer
