漏洞描述:
VMware Aria Automation(以前称为 vRealize Automation)是一个基础架构自动化平台,可跨 VMware Cloud 和原生公有云提供安全的自助式多云环境监管和资源生命周期管理。
近日监测到VMware Aria Automation中修复了一个访问控制不当漏洞(CVE-2023-34063),该漏洞的CVSSv3评分为9.9,由于VMware Aria Automation受影响版本中缺乏访问控制,经过身份验证的威胁者可利用该漏洞对远程组织和工作流程进行未授权访问,可能导致信息泄露或执行未授权操作。
影响范围:
VMware Aria Automation 8.14.x
VMware Aria Automation 8.13.x
VMware Aria Automation 8.12.x
VMware Aria Automation 8.11.x
VMware Cloud Foundation (Aria Automation) 5.x、4.x
安全措施:
升级版本
目前这些漏洞已经修复,受影响用户可升级到VMware Aria Automation 8.16版本(建议)。或者也可以为以下Aria Automation 版本应用补丁:
注意,补丁仅适用于上述列表中的相应版本,如果其早期版本需要应用补丁,则需要先将其升级到上表列出的版本之一后在该版本上安装补丁
补丁链接:
https://kb.vmware.com/s/article/96098
VMware Cloud Foundation (Aria Automation) 5.x和4.x可应用补丁KB96136:
https://kb.vmware.com/s/article/96136
临时措施:
暂无
参考链接:
https://www.vmware.com/security/advisories/VMSA-2024-0001.html
原文始发于微信公众号(飓风网络安全):【漏洞预警】VMware Aria Automation访问控制不当漏洞CVE-2023-34063
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论