聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
VMware 在这云IT运维平台上发现了五个漏洞,并提醒用户称恶意黑客可构造 exp,实现提权或发动XSS攻击。
VMware 发布 VMSA-2024-0022 安全公告提到:
CVE-2024-38830:提权漏洞(CVSS 7.8),具有本地管理员权限的人员可在该设备获得root访问权限。
CVE-2024-38831:本地提权漏洞(CVSS评分7.8),可将恶意命令插入属性文件,将权限提升至root。
CVE-2024-38832:存储型XSS漏洞(CVSS评分7.1),对视图具有编辑权限的用户可注入恶意脚本,导致XSS。
CVE-2024-38833:存储型XSS(CVSS评分6.8),对邮件模板具有编辑权限的恶意人员可注入恶意脚本,导致XSS。
CVE-2024-38834:存储型XSS(CVSS评分6.5)。对晕提供商具有编辑权限的恶意人员可注入恶意脚本,导致XSS。
VMware 表示这些漏洞影响 VMware Aria Operations(8.x版本)和VMware Cloud Foundation(使用 Aria Operations 的4.x 和 5.x版本)。
因不存在应变措施,建议企业用户尽快应用补丁。VMware 虚拟化技术产品一直以来是高阶黑客组织的重大目标。CISA 必修清单中纳入多个VMware 缺陷,其中至少一个位于VMware Aria Operations 中。
补丁不给力,VMware vCenter 严重RCE漏洞遭利用
关于VMware vCenter Server存在堆溢出漏洞的安全公告
VMware 修复HCX 平台上可导致RCE的高危SQLi 漏洞
https://www.securityweek.com/vmware-patches-high-severity-vulnerabilities-in-aria-operations/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
如有侵权请联系:admin#unsafe.sh