VMware 修复多款产品中的高危漏洞
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
本周二,VMware 修复了影响 ESXi、Workstation、Fusion、Cloud Foundation和 NSX Data Center for vSphere 中的多个高危漏洞,它们可被用于执行任意代码和引发拒绝服务条件。
截止目前,并未有证据表明漏洞已遭在野利用。这六个缺陷是:
CVE-2021-22040:CVSS 8.4分,XHCI USB 控制器中的释放后使用漏洞
CVE-2021-22041:CVSS 8.4分,UHCI USB控制器中的Double-fetch 漏洞
CVE-2021-22042:CVSS 8.2分,ESXi seetingsd 越权访问漏洞
CVE-2021-22043:CVSS 8.2分,ESXi seetingsd TOCTOU漏洞
CVE-2021-22050:CVSS 5.3分,ESXi 中缓慢的HTTP POST拒绝服务漏洞
CVE-2021-22945:CVSS 8.8分,NSX Edge 设备组件中的CLI shell 注入漏洞
这些漏洞如遭成功利用可导致具有虚拟机本地管理权限的恶意人员以运行在主机上虚拟机VMX进程身份执行代码。它还可导致能够访问settingsd 权限的攻击者通过写任意文件提升权限。
另外,CVE-2021-22050还可被具有ESXi网络访问权限的攻击者,通过多个请求复写 rhttpproxy 服务创建DoS条件。CVE-2022-22945可导致对NSX-V具有SSH访问权限的攻击者以根用户身份在操作系统上运行任意命令。
其中多个漏洞是由天府杯参赛人员发现的。VMware 公司指出,如果攻击者能够访问环境中的工作负载,则需紧急修复相关漏洞。
推荐阅读
VMWare 认证软件存在SSRF漏洞,可用于访问用户数据
VMware 修复 Workstation、Fusion 和 ESXi中的多个漏洞
CISA 督促VMware 管理员修复Workspace ONE UEM 中的严重漏洞
VMware:警惕 vSphere Web Client中的新漏洞
攻击者利用Python 勒索软件加密 VMware ESXi 服务器
原文链接
https://thehackernews.com/2022/02/vmware-issues-security-patches-for-high.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
VMware 修复多款产品中的高危漏洞相关推荐
- VMware 多款产品中存在严重漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 VMware 提醒客户立即修复位于多款产品中的严重漏洞,它们可被用于发动远程代码执行攻击. 本周三,VMware 提醒称,"应该按照 ...
- VMware 修复可窃取管理员凭据的高危漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 VMware 发布安全更新,修复了 vRealize Operations 中的一个高危漏洞,它本可导致攻击者利用易受攻击的服务器后窃 ...
- VMware多款产品中存在两个严重漏洞,美国国土安全部要求联邦机构5天内修复
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 VMware 提醒客户称需立即修复严重的认证绕过漏洞(CVE-2022-22972),它影响多款产品中的"本地域用户",可被 ...
- CISA 督促VMware 管理员修复Workspace ONE UEM 中的严重漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 CISA 要求 VMware 管理员和用户修复 Workspace ONE UEM 控制台中的严重漏洞,它可遭威胁者滥用,获得对敏感信息的访问权 ...
- VMware 修复 Workstation、Fusion 中多个严重的代码执行漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 VMware 修复了3个严重的产品漏洞,包括一个存在于 Workstation 和 Fusion 中的严重漏洞.攻击者可从 guest ...
- VMware 修复 Fusion 和 Horizon 中的两个提权漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 VMware 修复了两个漏洞,可导致攻击者在多种软件中提升权限或造成拒绝服务条件. 本周二,VMware 发布一份安全公告,说明了 C ...
- iframe 在 SAP 三款产品中的三个应用场景
这是 Jerry 2021 年的第 73 篇文章,也是汪子熙公众号总共第 350 篇原创文章. iframe 是一项历史悠久的前端技术,能够将另一个 HTML 页面嵌入到当前的宿主页面.每个通过 if ...
- php安全漏洞怎么修复,PHP安全团队已发布安全补丁修复PHP 7中的高危漏洞
近期国外安全研究团队CheckPoint花费数月时间检查PHP 7的反序列化机制,发现了三个新的高危安全漏洞. 这三处漏洞足以影响到全球80%的运行PHP的网站,在此前的PHP 5的反序列化机制中也曾 ...
- OpenSSL 修复可导致 DoS攻击的高危漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 周二,OpenSSL 发布更新修复了一个可导致 DoS 攻击的高危漏洞. OpenSSL Project 表示该漏洞编号为 CVE-2 ...
最新文章
- 同一肢体不同关节的运动想象过程中的多通道脑电图记录
- python算法与程序设计基础第二版-算法与程序设计基础(Python版) - 吴萍
- 数据库运维:检查不同数据库中表的差异方案
- linux用pipe创建的文件类型,linux文件类型之 管道
- 解析底层原理!月薪20k+的Android面试都问些什么?深夜思考
- vector clone_Java Vector clone()方法与示例
- Android中MediaRecorder.stop()报错 java.lang.RuntimeException: stop failed.
- css设计引言,HTML5与CSS3设计模式 引言(3)
- seo伪原创工具_伪原创工具哪个好用?
- LeetCode 5.最长回文子串(动态规划)
- 正则表达式及其在Java和Python中的相关操作
- 自定义高效支持点击监听的RecyclerView
- LuoguP3674 小清新人渣的本愿 BZOJ4810: [Ynoi2017]由乃的玉米田
- Tab,回车/换行组合符
- 半正定矩阵和正定矩阵的一些理解和补充
- ClickHouse在苏宁用户画像场景的最佳实践
- 如何用真实图案填充图片?
- js获取摄像头权限实现拍照功能
- 何必言精通——十年杂感 兼谈其它
- 输出一个贷款的迁徙率计算的代码