VMware 修复多款产品中的高危漏洞
编译:代码卫士
截止目前,并未有证据表明漏洞已遭在野利用。这六个缺陷是:
CVE-2021-22040:CVSS 8.4分,XHCI USB 控制器中的释放后使用漏洞
CVE-2021-22041:CVSS 8.4分,UHCI USB控制器中的Double-fetch 漏洞
CVE-2021-22042:CVSS 8.2分,ESXi seetingsd 越权访问漏洞
CVE-2021-22043:CVSS 8.2分,ESXi seetingsd TOCTOU漏洞
CVE-2021-22050:CVSS 5.3分,ESXi 中缓慢的HTTP POST拒绝服务漏洞
CVE-2021-22945:CVSS 8.8分,NSX Edge 设备组件中的CLI shell 注入漏洞
这些漏洞如遭成功利用可导致具有虚拟机本地管理权限的恶意人员以运行在主机上虚拟机VMX进程身份执行代码。它还可导致能够访问settingsd 权限的攻击者通过写任意文件提升权限。
另外,CVE-2021-22050还可被具有ESXi网络访问权限的攻击者,通过多个请求复写 rhttpproxy 服务创建DoS条件。CVE-2022-22945可导致对NSX-V具有SSH访问权限的攻击者以根用户身份在操作系统上运行任意命令。
其中多个漏洞是由天府杯参赛人员发现的。VMware 公司指出,如果攻击者能够访问环境中的工作负载,则需紧急修复相关漏洞。
VMware 修复 Workstation、Fusion 和 ESXi中的多个漏洞
CISA 督促VMware 管理员修复Workspace ONE UEM 中的严重漏洞
VMware:警惕 vSphere Web Client中的新漏洞
攻击者利用Python 勒索软件加密 VMware ESXi 服务器
https://thehackernews.com/2022/02/vmware-issues-security-patches-for-high.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。