VMware是全球云基礎架構和移動商務解決方案廠商,vRealize Operations Manager是vmware 官方提供的針對vmware虛擬化平臺的一套運維管理解決方案。
3月30日,VMware 官方發布安全公告,披露了CVE-2021-21975 VMware vRealize Operations Manager API SSRF 和 CVE-2021-21983 VMware vRealize Operations Manager API 任意文件寫入漏洞。以下是漏洞詳情:
漏洞詳情
1.CVE-2021-21975 CVSSv3評分:8.6 嚴重程度:高危
vRealize Operations Manager API包含服務器端請求偽造。可以通過網絡訪問vRealize Operations Manager API的惡意攻擊者可以執行服務器端請求偽造攻擊(SSRF),以竊取管理憑據。
2.CVE-2021-21983 CVSSv3評分:7.2 嚴重程度:高危
vRealize Operations Manager API包含一個任意文件寫入漏洞。可以通過網絡訪問vRealize Operations Manager API的經過身份驗證的惡意行為者可以將文件寫入基礎光子操作系統上的任意位置。
受影響產品
vRealize Operations Manager 8.3.0
vRealize Operations Manager 8.2.0
vRealize Operations Manager 8.1.1
vRealize Operations Manager 8.1.0
vRealize Operations Manager 8.0.1
vRealize Operations Manager 8.0.0
vRealize Operations Manager 7.5.0
解決方案
官方未發布新版本,但已提供對應版本的相關補丁.建議根據vRealize Operations Manager版本下載并更新合適的補丁。在安裝補丁前建議做好相應備份。補丁下載地址請見:https://www.vmware.com/security/advisories/VMSA-2021-0004.html 。
查看更多漏洞信息 以及升級請訪問官網:
https://www.vmware.com/security/advisories/VMSA-2021-0004.html?spm=a2c4g.11174386.n2.4.48ec1051qr0vC6
京公網安備 11010802036102號