VMware 週三發佈了安全更新,以解決多個產品中的漏洞,攻擊者可能利用這些漏洞來控制受影響的系統。
六個安全性漏洞(從 CVE-2021-22022 到 CVE-2021-22027,CVSS 分數:4.4 - 8.6)影響 VMware vRealize Operations(8.5.0 版之前)、VMware Cloud Foundation(3.x 版和 4.x 版) ) 和 vRealize Suite Lifecycle Manager(版本 8.x),如下所列 -
CVE-2021-22022(CVSS 評分:4.4)- vRealize Operations Manager API 中的任意檔讀取漏洞,導致資訊洩露
CVE-2021-22023(CVSS 分數:6.6)- vRealize Operations Manager API 中的不安全直接物件引用漏洞,使具有管理存取權限的攻擊者能夠更改其他使用者的資訊並控制帳戶
CVE-2021-22024(CVSS 評分:7.5)- vRealize Operations Manager API 中的任意日誌檔讀取漏洞,導致敏感資訊洩露
CVE-2021-22025(CVSS 評分:8.6)——vRealize Operations Manager API 中的存取控制漏洞,允許未經身份驗證的惡意行為者向現有 vROps 集群添加新節點
CVE-2021-22026 和 CVE-2021-22027(CVSS 評分:7.5)——vRealize Operations Manager API 中的伺服器端請求偽造漏洞,導致資訊洩露。
報告缺陷的是 Positive Technologies 的 Egor Dimitrenko(CVE-2021-22022 和 CVE-2021-22023)和 MoyunSec V-Lab 的 thiscodecc(從 CVE-2021-22024 到 CVE-2021-22027)。
另外,VMware 還發佈了補丁來修復影響 VMware vRealize Log Insight 和 VMware Cloud Foundation 的跨網站腳本 (XSS) 漏洞,該漏洞源於使用者輸入驗證不當的情況,使具有使用者許可權的攻擊者能夠通過當受害者訪問共用儀錶板連結時執行的 Log Insight UI。
該缺陷的識別字為CVE-2021-22021,在 CVSS 評分系統中的嚴重性評級為 6.5。Prevenity 的 Marcin Kot 和 Vantage Point Security 的 Tran Viet Quang 因獨立發現和報告該漏洞而受到讚譽。
VMware 在其 VMware Workspace ONE UEM 控制台 ( CVE-2021-22029,CVSS 評分:5.3) 中修補了一個拒絕服務錯誤後一周,補丁也發佈了,該錯誤可以訪問“/API/system/admins/session " 可能會因速率限制不當而濫用 API 不可用。
Myasiacloud亞洲雲海
網路安全防禦專家
亞太高防資源 無上限防禦DDoS/CC攻擊!!
全球優質節點 中國大陸全境加速 海外加速
詳情訪問https://www.myasiacloud.com/clouddf
商務聯絡TG:@myasiacloud66