VMware 周三发布了安全更新,以解决多个产品中的漏洞,攻击者可能利用这些漏洞来控制受影响的系统。
六个安全性漏洞(从 CVE-2021-22022 到 CVE-2021-22027,CVSS 分数:4.4 - 8.6)影响 VMware vRealize Operations(8.5.0 版之前)、VMware Cloud Foundation(3.x 版和 4.x 版) ) 和 vRealize Suite Lifecycle Manager(版本 8.x),如下所列 -
CVE-2021-22022(CVSS 评分:4.4)- vRealize Operations Manager API 中的任意档读取漏洞,导致资讯泄露
CVE-2021-22023(CVSS 分数:6.6)- vRealize Operations Manager API 中的不安全直接物件引用漏洞,使具有管理存取权限的攻击者能够更改其他使用者的资讯并控制帐户
CVE-2021-22024(CVSS 评分:7.5)- vRealize Operations Manager API 中的任意日志档读取漏洞,导致敏感资讯泄露
CVE-2021-22025(CVSS 评分:8.6)——vRealize Operations Manager API 中的存取控制漏洞,允许未经身份验证的恶意行为者向现有 vROps 集群添加新节点
CVE-2021-22026 和 CVE-2021-22027(CVSS 评分:7.5)——vRealize Operations Manager API 中的伺服器端请求伪造漏洞,导致资讯泄露。
报告缺陷的是 Positive Technologies 的 Egor Dimitrenko(CVE-2021-22022 和 CVE-2021-22023)和 MoyunSec V-Lab 的 thiscodecc(从 CVE-2021-22024 到 CVE-2021-22027)。
另外,VMware 还发布了补丁来修复影响 VMware vRealize Log Insight 和 VMware Cloud Foundation 的跨网站脚本 (XSS) 漏洞,该漏洞源于使用者输入验证不当的情况,使具有使用者许可权的攻击者能够通过当受害者访问共用仪表板连结时执行的 Log Insight UI。
该缺陷的识别字为CVE-2021-22021,在 CVSS 评分系统中的严重性评级为 6.5。Prevenity 的 Marcin Kot 和 Vantage Point Security 的 Tran Viet Quang 因独立发现和报告该漏洞而受到赞誉。
VMware 在其 VMware Workspace ONE UEM 控制台 ( CVE-2021-22029,CVSS 评分:5.3) 中修补了一个拒绝服务错误后一周,补丁也发布了,该错误可以访问“/API/system/admins/session " 可能会因速率限制不当而滥用 API 不可用。
Myasiacloud亚洲云海
网路安全防御专家
亚太高防资源 无上限防御DDoS/CC攻击!!
全球优质节点 中国大陆全境加速 海外加速
详情访问https://www.myasiacloud.com/clouddf
商务联络TG:@myasiacloud66