VMware 发布安全更新以修复其产品中的 6 个安全漏洞

VMware 周三发布了安全更新，以解决多个产品中的漏洞，攻击者可能利用这些漏洞来控制受影响的系统。

六个安全漏洞（从 CVE-2021-22022 到 CVE-2021-22027，CVSS 评分：4.4 – 8.6）影响 VMware vRealize Operations（8.5.0 版之前）、VMware Cloud Foundation（3.x 版和 4.x 版） ) 和 vRealize Suite Lifecycle Manager（版本 8.x），如下所列 –

• CVE-2021-22022（CVSS 评分：4.4）- vRealize Operations Manager API 中的任意文件读取漏洞，导致信息泄露
• CVE-2021-22023（CVSS 分数：6.6）- vRealize Operations Manager API 中的不安全直接对象引用漏洞，使具有管理访问权限的攻击者能够更改其他用户的信息并控制帐户
• CVE-2021-22024（CVSS 评分：7.5）- vRealize Operations Manager API 中的任意日志文件读取漏洞，导致敏感信息泄露
• CVE-2021-22025（CVSS 评分：8.6）——vRealize Operations Manager API 中的访问控制漏洞，允许未经身份验证的恶意行为者向现有 vROps 集群添加新节点
• CVE-2021-22026 和 CVE-2021-22027（CVSS 评分：7.5）——vRealize Operations Manager API 中的服务器端请求伪造漏洞，导致信息泄露

报告漏洞的是 Positive Technologies 的 Egor Dimitrenko（CVE-2021-22022 和 CVE-2021-22023）和 MoyunSec V-Lab 的 thiscodecc（从 CVE-2021-22024 到 CVE-2021-22027）。

另外，VMware 还发布了补丁来修复影响 VMware vRealize Log Insight 和 VMware Cloud Foundation 的跨站点脚本 (XSS) 漏洞，该漏洞源于用户输入验证不当的情况，使具有用户权限的攻击者能够通过当受害者访问共享仪表板链接时执行的 Log Insight UI。

该漏洞的标识符为CVE-2021-22021，在 CVSS 评分系统中的严重性评分为 6.5。Prevenity 的 Marcin Kot 和 Vantage Point Security 的 Tran Viet Quang 因独立发现和报告该漏洞而受到赞誉。

VMware 在其 VMware Workspace ONE UEM 控制台 ( CVE-2021-22029，CVSS 评分：5.3) 中修补了一个拒绝服务错误后一周，补丁也发布了，该错误可以访问“/API/system/admins/session ” 可能会因速率限制不当而滥用 API 不可用。