< 返回新闻公共列表

VMware 发布补丁以修复影响多个产品的新缺陷

发布时间:2021-08-30 10:57:49

30.jpg

VMware 周三发布了安全更新,以解决多个产品中的漏洞,攻击者可能利用这些漏洞来控制受影响的系统

 

六个安全漏洞(从 CVE-2021-22022 CVE-2021-22027CVSS 分数:4.4 - 8.6)影响 VMware vRealize Operations8.5.0 版之前)、VMware Cloud Foundation3.x 版和 4.x 版) ) vRealize Suite Lifecycle Manager(版本 8.x),如下所列 -

CVE-2021-22022CVSS 评分:4.4- vRealize Operations Manager API 中的任意文件读取漏洞,导致信息泄露

CVE-2021-22023CVSS 分数:6.6- vRealize Operations Manager API 中的不安全直接对象引用漏洞,使具有管理访问权限的攻击者能够更改其他用户的信息并控制帐户

CVE-2021-22024CVSS 评分:7.5- vRealize Operations Manager API 中的任意日志文件读取漏洞,导致敏感信息泄露

CVE-2021-22025CVSS 评分:8.6——vRealize Operations Manager API 中的访问控制漏洞,允许未经身份验证的恶意行为者向现有 vROps 集群添加新节点

CVE-2021-22026 CVE-2021-22027CVSS 评分:7.5——vRealize Operations Manager API 中的服务器端请求伪造漏洞,导致信息泄露。

 

报告缺陷的是 Positive Technologies Egor DimitrenkoCVE-2021-22022 CVE-2021-22023)和 MoyunSec V-Lab thiscodecc(从 CVE-2021-22024 CVE-2021-22027)。

 

另外,VMware 还发布了补丁来修复影响 VMware vRealize Log Insight VMware Cloud Foundation 的跨站点脚本 (XSS) 漏洞,该漏洞源于用户输入验证不当的情况,使具有用户权限的攻击者能够通过当受害者访问共享仪表板链接时执行的 Log Insight UI

 

该缺陷的标识符为CVE-2021-22021,在 CVSS 评分系统中的严重性评级为 6.5Prevenity Marcin Kot Vantage Point Security Tran Viet Quang 因独立发现和报告该漏洞而受到赞誉。

 

VMware 在其 VMware Workspace ONE UEM 控制台 ( CVE-2021-22029CVSS 评分:5.3) 中修补了一个拒绝服务错误后一周,补丁也发布了,该错误可以访问“/API/system/admins/session " 可能会因速率限制不当而滥用 API 不可用。

 

Myasiacloud亞洲雲海

網路安全防禦專家

亞太高防資源 無上限防禦DDoS/CC攻擊!!

全球優質節點 中國大陸全境加速 海外加速

詳情訪問https://www.myasiacloud.com/clouddf

商務聯絡TG:@myasiacloud66



/template/Home/Zkeys2/PC/Static