欢迎user
新华三攻防实验室
2021/08/26
VMware软件原生集成计算、网络和存储虚拟化技术及自动化和管理功能,支持企业革新其基础架构、自动化IT服务的交付和管理及运行新式云原生应用和基于微服务应用。近日,新华三攻防实验室威胁预警团队监测到VMware官方发布了编号为VMSA-2021-0018的漏洞风险通告,涉及到VMware vRealize Operations、VMware 云基础、vRealize Suite 生命周期管理器等产品,其中包括任意文件读取、访问控制缺陷、服务器端请求伪造等,可能造成用户敏感信息泄露、访问用户内网资源等危害。
1、 CVE-2021-22022: vRealize Operations Manager API任意文件读取漏洞
该漏洞是由于vRealize Operations Manager API 中存在任意文件读取漏洞,使得对vRealize Operations Manager API 具有管理访问权限的恶意攻击者可以读取服务器上的任何文件,可能会导致敏感信息泄露。
严重等级:中等 评分:4.4
2、CVE-2021-22023: vRealize Operations Manager API不安全直接对象引用漏洞
该漏洞是由于 vRealize Operations Manager API 存在不安全的对象引用,使得对vRealize Operations Manager API 具有管理访问权限的恶意攻击者可以修改其他用户的信息,从而可能会导致账户接管。
严重等级:中等 评分:6.6
3、CVE-2021-22024: vRealize Operations Manager API 任意日志文件读取漏洞
该漏洞是由于vRealize Operations Manager API存在一个任意日志文件读取漏洞,该漏洞允许通过网络访问vRealize Operations Manager API 的未进行身份验证的恶意攻击者读取任意日志文件,从而可能导致敏感信息泄露。
严重等级:重要 评分:7.5
4、CVE-2021-22025: vRealize Operations Manager API 访问控制缺陷漏洞
该漏洞是由于vRealize Operations Manager API存在访问控制缺陷,该漏洞可能导致通过网络访问 vRealize Operations Manager API 的未进行身份验证的恶意攻击者向现有 vROps 群集添加新节点。
严重等级:重要 评分:8.6
5、CVE-2021-22026、CVE-2021-22027: vRealize Operations Manager API服务器端请求伪造
该漏洞是由于vRealize Operations Manager API在多个端点中存在服务器端请求伪造漏洞,该漏洞可能导致通过网络访问 vRealize Operations Manager API 的未进行身份验证的恶意攻击者可以执行服务器端请求伪造攻击,从而可能导致信息泄露。
严重等级:重要 评分:7.5
软件 | 版本 |
VMware vRealize Operations Manager | 8.4.0 |
VMware vRealize Operations Manager | 8.3.0 |
VMware vRealize Operations Manager | 8.2.0 |
VMware vRealize Operations Manager | 8.1.1 |
VMware vRealize Operations Manager | 8.1.0 |
VMware vRealize Operations Manager | 8.0.1 |
VMware vRealize Operations Manager | 8.0.0 |
VMware vRealize Operations Manager | 7.5.0 |
目前官方已发布漏洞修复补丁,请受影响的用户及时升级补丁以修复该漏洞,参考链接:https://www.vmware.com/security/advisories/VMSA-2021-0018.html
https://www.vmware.com/security/advisories/VMSA-2021-0018.html