【漏洞情报】VMware vRealize多个高危漏洞

admin 2023年3月9日08:25:47评论74 views字数 1049阅读3分29秒阅读模式

0x01  漏洞介绍


VMware vRealize Operations 可提供从应用到基础架构的自动驾驶式 IT 运维管理,以优化、规划及扩展 SDDC 和 VMware Cloud 部署,同时提供对多个公有云的可见性。在 AI 和预测性分析的支持下,它可帮助 IT 部门在一个统一的运维平台上轻松且不受干扰地进行生产运维。无论本地部署还是 SaaS,vRealize Operations 均可提供持续性能优化、高效容量管理、主动规划、智能修复和集成式合规性。

【漏洞情报】VMware vRealize多个高危漏洞

2022年8月9日,VMware官方通告了VMware vRealize Operations的多个漏洞,其中包括权限提升漏洞 (CVE-2022-31672)信息泄露漏洞 (CVE-2022-31673)、信息泄露漏洞 (CVE-2022-31674)、身份验证绕过漏洞 (CVE-2022-31675)。


0x02  漏洞详情


漏洞名称:权限提升漏洞 (CVE-2022-31672)

描述:VMware vRealize Operations包含权限提升漏洞。具有管理网络访问权限的恶意行为者可以将权限提升到 root。CVSSV3的评分为7.2。


漏洞名称:信息泄露漏洞 (CVE-2022-31673)

描述:具有网络访问权限的低权限恶意参与者可以创建并泄漏十六进制转储,从而导致信息泄露。成功利用此漏洞可导致远程代码执行。CVSSV3的评分为6.5。


漏洞名称:信息泄露漏洞 (CVE-2022-31674)

描述:具有网络访问权限的低权限恶意参与者可以访问导致信息泄露的日志文件CVSSV3的评分为6.5。


漏洞名称:身份验证绕过漏洞 (CVE-2022-31675)

描述具有网络访问权限的未经验证的恶意参与者可能能够创建具有管理权限的用户。CVSSV3的评分为5.6。


0x03  影响范围


VMware vRealize 8.x


0x04  修复方案


官方已于8.6.4版本修复以上漏洞,用户请尽快更新至安全版本。

下载URL: 

https://customerconnect.vmware.com/en/downloads/info/slug/infrastructure_operations_management/vmware_vrealize_operations/8_6



0x05  参考链接


https://www.vmware.com/security/advisories/VMSA-2022-0022.html

原文始发于微信公众号(锋刃科技):【漏洞情报】VMware vRealize多个高危漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月9日08:25:47
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞情报】VMware vRealize多个高危漏洞https://cn-sec.com/archives/1231986.html

发表评论

匿名网友 填写信息