近日,安全狗应急响应中心关注到VMware官方发布安全公告,披露出在VMware Aria Operations Networks 6.x系列版本中存在安全漏洞(CVE-2023-20887),具有网络访问权限的攻击者利用该漏洞通过执行命令注入攻击,从而导致远程代码执行。
漏洞描述
VMware Aria Operations for Networks (以前称为vRealize Network Insight,vRNI)是一款网络可视性和分析工具,可以帮助管理员优化网络性能或管理和扩展各种VMware和Kubernetes部署。VMware Aria Operations for Networks 6.x中修复了一个反序列化漏洞(CVE-2023-20888),对Aria Operations for Networks 具有网络访问权限的经过身份验证的恶意用户可以执行反序列化攻击,从而导致远程代码执行;以及修复了另一个信息泄露漏洞(CVE-2023-20889),对Aria Operations for Networks具有网络访问权限的恶意行为者可能能够执行导致信息泄露的命令注入攻击。
安全通告信息
| 漏洞名称 |
VMware Aria Operations for Networks命令注入漏洞 |
| 漏洞影响版本 |
VMware Aria Operations Networks版本:6.x |
| 漏洞危害等级 |
高危 |
| 厂商是否已发布漏洞补丁 |
是 |
| 版本更新地址 |
https://kb.vmware.com/s/article/92684 |
| 安全狗总预警期数 |
265 |
| 安全狗发布预警日期 |
2023年06月14日 |
| 安全狗更新预警日期 |
2023年06月14日 |
| 发布者 |
安全狗海青实验室 |
安全建议
目前,官方已发布新版本修复了该漏洞,请受影响的用户升级到安全版本。
参考链接
https://tomcat.apache.org/security-10.html文章来源:https://www.toymoban.com/news/detail-514343.html
https://commons.apache.org/proper/commons-fileupload/security-reports.html文章来源地址https://www.toymoban.com/news/detail-514343.html
到了这里,关于【安全狗高危安全通告】VMware Aria Operations 安全漏洞解决方案的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
