其他
VMware:警惕 vSphere Web Client中的新漏洞
编译:代码卫士
VMware 修复了位于 vCenter Server 和 Cloud Foundation 中的两个安全漏洞,它们可被远程攻击者用于访问敏感信息。
其中一个较为严重的是位于 vSphere Web Client 中的任意文件读取漏洞CVE-2021-21980。它的评分是7.5分,影响 vCenter Server 版本6.5和6.7。11月23日,该公司发布安全公告指出,“恶意人员如具有对端口443的网络访问权限,即可利用该漏洞获得对敏感信息的访问权限。“
第二个漏洞是位于虚拟存储区域网络 (vSAN) Web Client 插件中的服务器端请求伪造 (SSRF) 漏洞,可导致具有端口443网络访问权限的恶意人员访问内部服务或服务器的URL请求利用该漏洞。
VMware对发现并报告这两个漏洞的奇安信网神观星实验室(SGLAB)研究员 magiczero。
SSRF 攻击是一种 web 安全漏洞,可导致攻击者通过发送特殊构造的HTTP请求访问目标服务器,从而读取或修改目标服务器的内部资源,导致信息遭越权暴露。SSRF 漏洞严重程度非常高而且传播广泛,已成为2021年的十大web 应用安全风险之一。
鉴于使用 VMware 虚拟化解决方案的企业数量庞大,因此其产品成为攻击脆弱网络的着手点也好不令人奇怪。建议组织机构迅速应用必要的安全更新。
速修复!VMware vCenter Server 所有版本受严重的 RCE 漏洞影响
VMware 修复可窃取管理员凭据的高危漏洞
VMware 修复 View Planner中的严重RCE 漏洞
谈谈我们如何发现 VMware vCenter 的越权 RCE
https://thehackernews.com/2021/11/vmware-warns-of-newly-discovered.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。