0x00 漏洞概述
|
CVE ID |
CVE-2022-22948 |
时 间 |
2022-03-29 |
|
类 型 |
信息泄露 |
等 级 |
中危 |
|
远程利用 |
否 |
影响范围 |
|
|
攻击复杂度 |
低 |
用户交互 |
无 |
|
PoC/EXP |
在野利用 |
0x01 漏洞详情
VMware vCenter Server 是一款高级服务器管理软件,提供了一个集中式平台来控制 vSphere 环境,以实现跨混合云的可见性。
3月29日,VMware发布vCenter Server 安全更新,修复了vCenter Server和Cloud Foundation中的信息泄露漏洞(CVE-2022-22948),该漏洞的CVSSv3评分为5.5。
vCenter Server包含由于文件权限不正确而导致的信息泄露漏洞,可以利用此漏洞在对vCenter Server 具有非管理员访问权限的情况下获取敏感信息。
0x02 安全建议
目前VMware已经发布了此漏洞的安全更新,受影响用户可以参考下表及时更新至修复版本:
|
产品 |
受影响版本 |
运行平台 |
修复版本 |
下载链接 |
|
vCenter Server |
7.0 |
Any |
7.0 U3d |
https://www.vmware.com/security/advisories/VMSA-2022-0009.html |
|
6.7 |
Virtual Appliance |
6.7 U3p |
||
|
6.5 |
Virtual Appliance |
6.5 U3r |
||
|
Cloud Foundation (vCenter Server) |
4.x |
Any |
暂无补丁 |
|
|
3.x |
Any |
3.11 |
注:vCenter Server for Windows 6.7、6.5不受此漏洞影响;Cloud Foundation (vCenter Server) 4.x暂无补丁。
0x03 参考链接
https://www.vmware.com/security/advisories/VMSA-2022-0009.html
https://customerconnect.vmware.com/downloads/details?downloadGroup=VC70U3D&productId=974&rPId=74352
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22948
0x04 版本信息
|
版本 |
日期 |
修改内容 |
|
V1.0 |
2022-03-30 |
首次发布 |
0x05 附录
原文始发于微信公众号(维他命安全):【漏洞通告】VMware vCenter Server信息泄露漏洞(CVE-2022-22948)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论