VMware 在安全公告中指出,恶意黑客可利用这些漏洞绕过 SSH 认证并获得对 Aria Operations for Networks 命令行界面的访问权限。VMware 为该网络认证绕过问题分配的编号是CVE-2023-34039,CVSS评分为9.8。
该公司提到,“Aria Operations for Networks 中包含一个因缺乏唯一加密密钥生成而造成的认证绕过漏洞。VMware 将该漏洞的严重性评级为‘严重’等级,且CVSSv3 基础评分为9.8。”
VMware Aria Operations for Networks 产品此前名为 vRealize Network Insight,供企业用于监控、发现和分析网络和应用程序,在云间构建安全的网络基础设施。
VMware 指出,Aria Operations for Networks 收集器受该漏洞影响,建议用户升级平台设备进行修复。
VMware 还发布了另外一个漏洞CVE-2023-20890的补丁,该漏洞可导致对VMware Aria Operations for Networks具有管理员访问权限的认证恶意人员将文件写入任意位置中。
VMware 一直在修复 Aria Operations for Networks 产品中的安全漏洞,最近修复了遭远程在野利用的命令注入漏洞。而该产品也出现在美国CISA的必修清单中。
原文始发于微信公众号(代码卫士):VMware 修复网络监控产品中的严重漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论