VMware 在这云IT运维平台上发现了五个漏洞,并提醒用户称恶意黑客可构造 exp,实现提权或发动XSS攻击。 VMware 发布 VMSA-2024-0022 安全公告提到: CVE-2024-38830:提权漏洞(CVSS 7.8),具有本地管理员权限的人员可在该设备获得root访问权限。 CVE-2024-38831:本地提权漏洞(CVSS评分7.8),可将恶意命令插入属性文件,将权限提升至root。 CVE-2024-38832:存储型XSS漏洞(CVSS评分7.1),对视图具有编辑权限的用户可注入恶意脚本,导致XSS。 CVE-2024-38833:存储型XSS(CVSS评分6.8),对邮件模板具有编辑权限的恶意人员可注入恶意脚本,导致XSS。 CVE-2024-38834:存储型XSS(CVSS评分6.5)。对晕提供商具有编辑权限的恶意人员可注入恶意脚本,导致XSS。 VMware 表示这些漏洞影响 VMware Aria Operations(8.x版本)和VMware Cloud Foundation(使用 Aria Operations 的4.x 和 5.x版本)。 因不存在应变措施,建议企业用户尽快应用补丁。VMware 虚拟化技术产品一直以来是高阶黑客组织的重大目标。CISA 必修清单中纳入多个VMware 缺陷,其中至少一个位于VMware Aria Operations 中。
原文始发于微信公众号(代码卫士):VMware 修复 Aria Operations 中的多个高危漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论