VMware vRealize 修复服务器端请求伪造和任意文件写入漏洞

admin
admin
admin
139164
文章
114
评论
2021年3月31日07:35:11评论83 views字数 1055阅读3分31秒阅读模式


VMware vRealize 修复服务器端请求伪造和任意文件写入漏洞
VMware vRealize 修复服务器端请求伪造和任意文件写入漏洞

点击上方 蓝字 关注我们


3月30日,VMware发布了关于vRealize Operations的安全更新,本次安全更新修复了一处服务器端请求伪造漏洞(CVE-2021-21975),一处任意文件上传漏洞(CVE-2021-21983)。黑客可利用这两处漏洞配合实现未通过身份验证情况下的远程代码执行。火绒工程师建议相关用户及时将vRealize升级到最新版本。


漏洞详情


CVE-2021-21975:服务器端请求伪造漏洞
VMware官方评级为重要(Important)  
CVSSv3: 8.6
攻击者在无需身份验证和用户交互的情况下,可利用此漏洞窃取管理凭据。
 
CVE-2021-21983:任意文件上传漏洞
VMware官方评级为重要(Important)  
CVSSv3: 7.2
攻击者在经过身份验证后,可利用此漏洞,远程将文件上传至服务器。


影响范围


vRealize Operations Manager 8.3.0、8.2.0、8.1.0、8.1.1、8.0.0、8.0.1、7.5.0
VMware Cloud Foundation(vROps)3.x、4.x
vRealize Suite Lifecycle Manager (vROps) 8.x


修复建议


下载VMware官方发布的补丁进行修复。
补丁链接:
vRealize Operations Manager

  • 8.3.0: https://kb.vmware.com/s/article/83210

  • 8.2.0: https://kb.vmware.com/s/article/83095

  • 8.1.1: https://kb.vmware.com/s/article/83094

  • 8.0.1: https://kb.vmware.com/s/article/83093

  • 7.5.0: https://kb.vmware.com/s/article/82367

 
VMware Cloud Foundation (vROps)

  • 4.x/3.x: https://kb.vmware.com/s/article/83260


 
vRealize Suite Lifecycle Manager (vROps)

  • 8.x: https://kb.vmware.com/s/article/83260



 
 
参考链接:
https://www.vmware.com/security/advisories/VMSA-2021-0004.html
 


本文始发于微信公众号(火绒安全实验室):VMware vRealize 修复服务器端请求伪造和任意文件写入漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年3月31日07:35:11
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   VMware vRealize 修复服务器端请求伪造和任意文件写入漏洞https://cn-sec.com/archives/313944.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息