【漏洞预警】VMware vRealize Operations Manager SSRF与文件写入漏洞

admin 2021年7月20日23:52:55评论98 views字数 1154阅读3分50秒阅读模式

2021年3月31日,阿里云应急响应中心监测到 VMware 官方发布安全公告,披露了CVE-2021-21975 VMware vRealize Operations Manager API SSRF 和 CVE-2021-21983 VMware vRealize Operations Manager API 任意文件写入漏洞。

01

漏洞描述

VMware是一家云基础架构和移动商务解决方案厂商,vRealize Operations Manager是vmware 官方提供的针对vmware虚拟化平台的一套运维管理解决方案。2021年3月31日,VMware 官方发布安全公告,披露了CVE-2021-21975 VMware vRealize Operations Manager API SSRF 和 CVE-2021-21983 VMware vRealize Operations Manager API 任意文件写入漏洞。攻击者结合两个漏洞构造恶意请求,可在无需认证的情况下执行任意代码,控制服务器。阿里云应急响应中心提醒 VMware 用户尽快采取安全措施阻止漏洞攻击。

02

漏洞复现

【漏洞预警】VMware vRealize Operations Manager SSRF与文件写入漏洞

03
03
03

漏洞评级

CVE-2021-21975 VMware vRealize Operations Manager API SSRF 高危

CVE-2021-21983 VMware vRealize Operations Manager API 任意文件写入漏洞 高危

04

影响版本

vRealize Operations Manager 8.3.0

vRealize Operations Manager 8.2.0

vRealize Operations Manager 8.1.1

vRealize Operations Manager 8.1.0

vRealize Operations Manager 8.0.1

vRealize Operations Manager 8.0.0

vRealize Operations Manager 7.5.0

05

安全版本

官方未发布新版本,但已提供对应版本的相关补丁

06

安全建议

1、根据 vRealize Operations Manager 版本下载并更新合适的补丁。在安装补丁前建议做好相应备份。补丁下载地址请见:https://www.vmware.com/security/advisories/VMSA-2021-0004.html 。

2、利用阿里云安全组功能设置 vRealize Operations Manager 仅对可信地址开放。

07

相关链接         

https://www.vmware.com/security/advisories/VMSA-2021-0004.html

本文始发于微信公众号(阿里云应急响应):【漏洞预警】VMware vRealize Operations Manager SSRF与文件写入漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年7月20日23:52:55
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞预警】VMware vRealize Operations Manager SSRF与文件写入漏洞https://cn-sec.com/archives/313687.html

发表评论

匿名网友 填写信息