VMware 为云计算基础平台的关键RCE漏洞发布补丁
VMware 周二发布了安全更新,以解决其 VMware Cloud Foundation 产品中的一个严重安全漏洞。
该问题的编号为CVE-2021-39144,在 CVSS 漏洞评分系统中被评为 9.8 分(满分 10 分),并且与通过 XStream 开源库的远程代码执行漏洞有关。
“由于在 VMware Cloud Foundation (NSX-V) 中利用 XStream 进行输入序列化的未经身份验证的端点,恶意行为者可以在设备上的‘root’上下文中远程执行代码,”该公司在一份咨询中表示。
鉴于该漏洞的严重性及其相对较低的利用门槛,这家总部位于帕洛阿尔托的虚拟化服务提供商还为报废产品提供了补丁。
作为更新的一部分,VMware 还解决了CVE-2022-31678(CVSS 分数:5.3),这是一个 XML 外部实体 (XXE) 漏洞,可被利用导致拒绝服务 (DoS) 条件或未经授权的信息 披露。
Source Incite 的安全研究人员 Sina Kheirkhah 和 Steven Seeley 报告了这两个漏洞。
建议 VMware Cloud Foundation 的用户应用这些补丁来缓解潜在威胁。
下一篇:很抱歉没有了