VMware 修复多款产品中的高危漏洞

admin
admin
admin
102338
文章
87
评论
2022年2月17日21:43:19评论211 views字数 1126阅读3分45秒阅读模式

VMware 修复多款产品中的高危漏洞 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士


本周二,VMware 修复了影响 ESXi、Workstation、Fusion、Cloud Foundation和 NSX Data Center for vSphere 中的多个高危漏洞,它们可被用于执行任意代码和引发拒绝服务条件。


截止目前,并未有证据表明漏洞已遭在野利用。这六个缺陷是:

  • CVE-2021-22040:CVSS 8.4分,XHCI USB 控制器中的释放后使用漏洞

  • CVE-2021-22041:CVSS 8.4分,UHCI USB控制器中的Double-fetch 漏洞

  • CVE-2021-22042:CVSS 8.2分,ESXi seetingsd 越权访问漏洞

  • CVE-2021-22043:CVSS 8.2分,ESXi seetingsd TOCTOU漏洞

  • CVE-2021-22050:CVSS 5.3分,ESXi 中缓慢的HTTP POST拒绝服务漏洞

  • CVE-2021-22945:CVSS 8.8分,NSX Edge 设备组件中的CLI shell 注入漏洞

这些漏洞如遭成功利用可导致具有虚拟机本地管理权限的恶意人员以运行在主机上虚拟机VMX进程身份执行代码。它还可导致能够访问settingsd 权限的攻击者通过写任意文件提升权限。

另外,CVE-2021-22050还可被具有ESXi网络访问权限的攻击者,通过多个请求复写 rhttpproxy 服务创建DoS条件。CVE-2022-22945可导致对NSX-V具有SSH访问权限的攻击者以根用户身份在操作系统上运行任意命令。

其中多个漏洞是由天府杯参赛人员发现的。VMware 公司指出,如果攻击者能够访问环境中的工作负载,则需紧急修复相关漏洞。







推荐阅读

VMWare 认证软件存在SSRF漏洞,可用于访问用户数据
VMware 修复 Workstation、Fusion 和 ESXi中的多个漏洞
CISA 督促VMware 管理员修复Workspace ONE UEM 中的严重漏洞
VMware:警惕 vSphere Web Client中的新漏洞
攻击者利用Python 勒索软件加密 VMware ESXi 服务器




原文链接

https://thehackernews.com/2022/02/vmware-issues-security-patches-for-high.html


题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




VMware 修复多款产品中的高危漏洞
VMware 修复多款产品中的高危漏洞

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   VMware 修复多款产品中的高危漏洞 觉得不错,就点个 “在看” 或 "” 吧~

原文始发于微信公众号(代码卫士):VMware 修复多款产品中的高危漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年2月17日21:43:19
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   VMware 修复多款产品中的高危漏洞http://cn-sec.com/archives/790779.html

发表评论

匿名网友 填写信息