【漏洞通告】VMware vCenter Server信息泄露漏洞（CVE-2022-22948）

0x00 漏洞概述

CVE   ID	CVE-2022-22948	时    间	2022-03-29
类    型	信息泄露	等    级	中危
远程利用	否	影响范围
攻击复杂度	低	用户交互	无
PoC/EXP		在野利用

 

0x01 漏洞详情

VMware vCenter Server 是一款高级服务器管理软件，提供了一个集中式平台来控制 vSphere 环境，以实现跨混合云的可见性。

３月29日，VMware发布vCenter Server 安全更新，修复了vCenter Server和Cloud Foundation中的信息泄露漏洞（CVE-2022-22948），该漏洞的CVSSv3评分为5.5。

vCenter Server包含由于文件权限不正确而导致的信息泄露漏洞，可以利用此漏洞在对vCenter Server 具有非管理员访问权限的情况下获取敏感信息。

 

0x02 安全建议

目前VMware已经发布了此漏洞的安全更新，受影响用户可以参考下表及时更新至修复版本：

产品	受影响版本	运行平台	修复版本	下载链接
vCenter Server	7.0	Any	7.0 U3d	https://www.vmware.com/security/advisories/VMSA-2022-0009.html
	6.7	Virtual Appliance	6.7 U3p
	6.5	Virtual Appliance	6.5 U3r
Cloud Foundation (vCenter Server)	4.x	Any	暂无补丁
	3.x	Any	3.11

注：vCenter Server for Windows 6.7、6.5不受此漏洞影响；Cloud Foundation (vCenter Server) 4.x暂无补丁。

 

0x03 参考链接

https://www.vmware.com/security/advisories/VMSA-2022-0009.html

https://customerconnect.vmware.com/downloads/details?downloadGroup=VC70U3D&productId=974&rPId=74352

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22948

 

0x04 版本信息

版本	日期	修改内容
V1.0	2022-03-30	首次发布

 

0x05 附录

公司简介

启明星辰公司成立于1996年，并于2010年6月23日在深交所中小板正式挂牌上市，是国内极具实力的、拥有完全自主知识产权的网络安全产品、可信安全管理平台、安全服务与解决方案的综合提供商。

公司总部位于北京市中关村软件园，在全国各省、市、自治区设有分支机构，拥有覆盖全国的渠道体系和技术支持中心，并在北京、上海、成都、广州、长沙、杭州等多地设有研发中心。

多年来，启明星辰致力于提供具有国际竞争力的自主创新的安全产品和最佳实践服务，帮助客户全面提升其IT基础设施的安全性和生产效能，为打造和提升国际化的民族信息安全产业领军品牌而不懈努力。

关于我们

启明星辰安全应急响应中心主要针对重要安全漏洞的预警、跟踪和分享全球最新的威胁情报和安全报告。

关注以下公众号，获取全球最新安全资讯：

 

原文始发于微信公众号（维他命安全）：【漏洞通告】VMware vCenter Server信息泄露漏洞（CVE-2022-22948）