VMware Mengeluarkan Tambalan untuk Memperbaiki Cacat Baru yang Mempengaruhi Banyak Produk

  • Whatsapp
VMware

VMware pada hari Rabu dikirimkan pembaruan keamanan untuk mengatasi kerentanan dalam beberapa produk yang berpotensi dieksploitasi oleh penyerang untuk mengendalikan sistem yang terpengaruh.

Enam kelemahan keamanan (dari CVE-2021-22022 hingga CVE-2021-22027, skor CVSS: 4.4 – 8.6) mempengaruhi VMware vRealize Operations (sebelum versi 8.5.0), VMware Cloud Foundation (versi 3.x dan 4.x ), dan vRealize Suite Lifecycle Manager (versi 8.x), seperti yang tercantum di bawah ini –

Bacaan Lainnya

  • CVE-2021-22022 (Skor CVSS: 4,4) – Kerentanan pembacaan file arbitrer di vRealize Operations Manager API, yang mengarah ke pengungkapan informasi
  • CVE-2021-22023 (Skor CVSS: 6.6) – Kerentanan referensi objek langsung yang tidak aman di vRealize Operations Manager API, memungkinkan penyerang dengan akses administratif untuk mengubah informasi pengguna lain dan menguasai akun
  • CVE-2021-22024 (Skor CVSS: 7,5) – Kerentanan pembacaan file log sewenang-wenang di vRealize Operations Manager API, menghasilkan pengungkapan informasi yang sensitif
  • CVE-2021-22025 (Skor CVSS: 8.6) – Kerentanan kontrol akses yang rusak di vRealize Operations Manager API, memungkinkan aktor jahat yang tidak diautentikasi untuk menambahkan node baru ke cluster vROps yang ada
  • CVE-2021-22026 dan CVE-2021-22027 (Skor CVSS: 7,5) – Kerentanan Pemalsuan Permintaan Sisi Server di vRealize Operations Manager API, yang mengarah ke pengungkapan informasi

Dikreditkan dengan pelaporan kekurangan adalah Egor Dimitrenko dari Positive Technologies (CVE-2021-22022 dan CVE-2021-22023) dan codecc ini dari MoyunSec V-Lab (dari CVE-2021-22024 ke CVE-2021-22027).

Tim Stack Overflow

Secara terpisah, VMware juga telah mengeluarkan tambalan untuk memulihkan kerentanan skrip lintas situs (XSS) yang berdampak pada VMware vRealize Log Insight dan VMware Cloud Foundation yang berasal dari kasus validasi input pengguna yang tidak tepat, memungkinkan musuh dengan hak istimewa pengguna untuk menyuntikkan muatan berbahaya melalui Log Insight UI yang dijalankan saat korban mengakses link dasbor bersama.

Cacat, yang telah diberi pengidentifikasi CVE-2021-22021, telah dinilai 6,5 untuk tingkat keparahan pada sistem penilaian CVSS. Marcin Kot dari Prevenity dan Tran Viet Quang dari Vantage Point Security telah dikreditkan karena menemukan dan melaporkan kerentanan secara independen.

Tambalan juga tiba seminggu setelah VMware menambal bug penolakan layanan di konsol VMware Workspace ONE UEM (CVE-2021-22029, skor CVSS: 5.3) yang dapat disalahgunakan oleh aktor dengan akses ke “/API/system/admins/session” untuk membuat API tidak tersedia karena pembatasan kecepatan yang tidak tepat.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *