聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

VMware 修复了位于 vCenter Server 和 Cloud Foundation 中的两个安全漏洞,它们可被远程攻击者用于访问敏感信息。

其中一个较为严重的是位于 vSphere Web Client 中的任意文件读取漏洞CVE-2021-21980。它的评分是7.5分,影响 vCenter Server 版本6.5和6.7。11月23日,该公司发布安全公告指出,“恶意人员如具有对端口443的网络访问权限,即可利用该漏洞获得对敏感信息的访问权限。“

第二个漏洞是位于虚拟存储区域网络 (vSAN) Web Client 插件中的服务器端请求伪造 (SSRF) 漏洞,可导致具有端口443网络访问权限的恶意人员访问内部服务或服务器的URL请求利用该漏洞。

VMware对发现并报告这两个漏洞的奇安信网神观星实验室(SGLAB)研究员 magiczero。

SSRF 攻击是一种 web 安全漏洞,可导致攻击者通过发送特殊构造的HTTP请求访问目标服务器,从而读取或修改目标服务器的内部资源,导致信息遭越权暴露。SSRF 漏洞严重程度非常高而且传播广泛,已成为2021年的十大web 应用安全风险之一。

鉴于使用 VMware 虚拟化解决方案的企业数量庞大,因此其产品成为攻击脆弱网络的着手点也好不令人奇怪。建议组织机构迅速应用必要的安全更新。

推荐阅读

攻击者利用Python 勒索软件加密 VMware ESXi 服务器

速修复!VMware vCenter Server 所有版本受严重的 RCE 漏洞影响

VMware 修复可窃取管理员凭据的高危漏洞

VMware 修复 View Planner中的严重RCE 漏洞

谈谈我们如何发现 VMware vCenter 的越权 RCE

原文链接

https://thehackernews.com/2021/11/vmware-warns-of-newly-discovered.html

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错,就点个 “在看” 或 "赞” 吧~

VMware:警惕 vSphere Web Client中的新漏洞相关推荐

  1. vSphere Web Client 中的 vSAN 性能图 (2144493)

    vSphere Web Client 中的 vSAN 性能图 (2144493) https://kb.vmware.com/s/article/2144493?lang=zh_cn Last Upd ...

  2. VMware客户端vSphere Web Client新建虚拟机

    1.说明 vSphere Web Client是为管理员提供的一款通用的. 基于浏览器的VMware管理工具, 能够监控并管理VMware基础设施. 由于需要登录的宿主机安装的是ESXi-6.5.0, ...

  3. VMware 修复多款产品中的高危漏洞

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周二,VMware 修复了影响 ESXi.Workstation.Fusion.Cloud Foundation和 NSX Data Cent ...

  4. vSphere Web Client使用指南之安装配置

    2019独角兽企业重金招聘Python工程师标准>>> vSphere Web Client使用指南之安装配置 vSphere Web Client是为忙碌的管理员提供的一款通用的. ...

  5. esxi时间服务器在哪配置文件,如何使用vSphere Web Client配置 ESXi时间同步?

    安装完ESXi之后管理员需要做的第一件事情就是配置ESXi时间同步--如果没有这样做会导致应用程序.虚拟机或者其他方面出现问题. 如果ESXi时间同步处于关闭状态,那么虚拟机.应用程序和文件服务器可能 ...

  6. Vmware vSphere Web Client部署ovf模板报错:传输失败 OVF 描述符不可用

    Vmware vSphere Web Client部署ovf模板报错:"传输失败: OVF 描述符不可用" 原因:需要使用安全的https://访问,加密需要信任,一般我们使用的是 ...

  7. 使用vSphere Web Client导出/导入/还原分布式交换机配置(2034602)

    使用vSphere Web Client导出/导入/还原分布式交换机配置(2034602) 最近更新时间: 2017年8月10日分类:如何 1个 订阅  病征 https://kb.vmware.co ...

  8. 解决重启VCSA 6.0,访问vsphere web client提示:503 Service Unavailable错误

    解决重启VCSA 6.0,访问vsphere web client提示:503 Service Unavailable错误 https://www.pianshen.com/article/93205 ...

  9. vSphere Web Client 添加主机进VSAN集群时“SAN 主机移至目标群集: vSAN 群集的 UUID 不匹配”报错

    vSphere Web Client 添加主机进VSAN集群时,报"无法将 vSAN 主机移至目标群集: vSAN 群集的 UUID 不匹配 (主机: 5223a6c9-cf94-f978- ...

最新文章

  1. Linux笔记 软件管理
  2. Python20行代码实现视频字符化
  3. SAP云平台里的日志系统概述
  4. java实现递归层次遍历_Java实现二叉树的前序、中序、后序、层序遍历(递归方法)...
  5. minheight能继承吗_遗嘱中的房屋被拆迁,指定继承人能继承对应的拆迁款或安置房吗?...
  6. 测试驱动的面向对象软件开发(china-pub首发)
  7. Android软键盘问题
  8. 生活中运筹学的3个小案例_10个“乡村庭院”设计案例,生活在乡下,家家都有自己的小庭院...
  9. Simulink之晶闸管(可控硅SCR)
  10. python读取桌面上的文件夹怎么加密_python给文件夹加密 怎么样给python文件加密...
  11. docker中的localhost
  12. 记录又一次实战GetShell
  13. 操作系统的特点及其作用
  14. 助力零售业降本增效,零售业相关场景RPA应用
  15. C++_list快速学习入门(中英文结合)
  16. 对马岛之魂游戏高清动态壁纸
  17. SAP信贷最早未清项控制不执行问题
  18. xp怎么更改锁定计算机的快捷键,xp锁定计算机快捷键_在Window XP中快速锁定计算机_xp怎么锁定计算机...
  19. 新基建 数据中心样板案例丨中国联通贵安云数据中心微模块机房运营
  20. Python 绘图框架 MatplotLib 笔记(一)

热门文章

  1. ORACLE修改表信息
  2. 创建简单的maven archetype
  3. ASP.NET AJAX(开发代号Atlas)重要参考资源大收集
  4. 转贴:从现在电力短缺看今后劳动力短缺和高校破产
  5. SSL和数字证书服务慨述(4)
  6. java设计模式之 装饰器模式
  7. 《AngularJS实战》——3.2 过滤器的应用
  8. 基于bootstrap的时间选择插件daterangepicker以及汉化方法
  9. 全屏幕文本编辑器___Q10的设置:
  10. mysql参数优化和硬件优化等分享