VMware 周三发布了安全更新,以解决多个产品中的漏洞,攻击者可能利用这些漏洞来控制受影响的系统。
六个安全漏洞(从
CVE-2021-22022 到 CVE-2021-22027,CVSS 分数:4.4 - 8.6)影响
VMware vRealize Operations(8.5.0 版之前)、VMware Cloud Foundation(3.x 版和 4.x 版) ) 和 vRealize
Suite Lifecycle Manager(版本 8.x),如下所列 -
CVE-2021-22022(CVSS 评分:4.4)- vRealize Operations Manager API 中的任意文件读取漏洞,导致信息泄露
CVE-2021-22023(CVSS 分数:6.6)- vRealize Operations Manager API 中的不安全直接对象引用漏洞,使具有管理访问权限的攻击者能够更改其他用户的信息并控制帐户
CVE-2021-22024(CVSS 评分:7.5)- vRealize Operations Manager API 中的任意日志文件读取漏洞,导致敏感信息泄露
CVE-2021-22025(CVSS 评分:8.6)——vRealize Operations Manager API 中的访问控制漏洞,允许未经身份验证的恶意行为者向现有 vROps 集群添加新节点
CVE-2021-22026 和 CVE-2021-22027(CVSS 评分:7.5)——vRealize
Operations Manager API 中的服务器端请求伪造漏洞,导致信息泄露。
报告缺陷的是
Positive Technologies 的 Egor Dimitrenko(CVE-2021-22022 和 CVE-2021-22023)和 MoyunSec V-Lab 的 thiscodecc(从 CVE-2021-22024 到 CVE-2021-22027)。
另外,VMware 还发布了补丁来修复影响 VMware vRealize Log Insight 和 VMware Cloud
Foundation 的跨站点脚本 (XSS) 漏洞,该漏洞源于用户输入验证不当的情况,使具有用户权限的攻击者能够通过当受害者访问共享仪表板链接时执行的 Log Insight UI。
该缺陷的标识符为CVE-2021-22021,在 CVSS 评分系统中的严重性评级为 6.5。Prevenity 的 Marcin Kot 和 Vantage Point Security 的 Tran Viet Quang 因独立发现和报告该漏洞而受到赞誉。
VMware 在其 VMware Workspace ONE UEM 控制台 ( CVE-2021-22029,CVSS 评分:5.3) 中修补了一个拒绝服务错误后一周,补丁也发布了,该错误可以访问“/API/system/admins/session
" 可能会因速率限制不当而滥用 API 不可用。
Myasiacloud亞洲雲海
網路安全防禦專家
亞太高防資源 無上限防禦DDoS/CC攻擊!!
全球優質節點 中國大陸全境加速 海外加速
詳情訪問https://www.myasiacloud.com/clouddf
商務聯絡TG:@myasiacloud66
评论
发表评论