VMware发布修补程序以修复影响多个产品的新缺陷

周三，VMware发布了安全更新，以解决多个产品中可能被攻击者利用以控制受影响系统的漏洞。

六个安全弱点（从CVE-2021-22022通过CVE-2021-22027，CVSS分数：4.4到8.6）影响VMware VFIX操作（在版本85.0之前）、VMware云基础（版本3 .x和4 .x）和VFieldLoad生命周期管理器（版本8 .x），如下所示

• CVE-2021-22022（CVSS分数：4.4）-vRealize Operations Manager API中存在任意文件读取漏洞，导致信息泄露
• CVE-2021-22023（CVSS分数：6.6）-vRealize Operations Manager API中存在不安全的直接对象引用漏洞，使具有管理权限的攻击者能够更改其他用户的信息并夺取对帐户的控制权
• CVE-2021-22024（CVSS分数：7.5）-vRealize Operations Manager API中存在任意日志文件读取漏洞，导致敏感信息泄露
• CVE-2021-22025（CVSS分数：8.6）-vRealize Operations Manager API中存在被破坏的访问控制漏洞，允许未经验证的恶意参与者向现有vROps群集添加新节点
• CVE-2021-22026和CVE-2021-22027（CVSS分数：7.5）-vRealize Operations Manager API中存在服务器端请求伪造漏洞，导致信息泄露

积极技术公司（CVE-2021-22022和CVE-2021-22023）的伊戈尔·迪米特伦科（Egor Dimitrenko）和MoyunSec V-Lab的ThisCodec（从CVE-2021-22024到CVE-2021-22027）报告了这些缺陷。

此外，VMware还发布补丁来修复跨站点脚本（XSS）漏洞，影响VMware ValueLog-Insight和VMware云基金会，源于不正确的用户输入验证的情况，使具有用户权限的对手能够通过受害者访问共享仪表板链接时执行的Log Insight UI注入恶意有效负载。

该缺陷被指定为标识符CVE-2021-22021，在CVSS评分系统中，其严重性被评定为6.5级。Prevenity的Marcin Kot和Vantage Point Security的Tran Vieta Quang独立发现并报告了该漏洞。

在VMware修补其VMware Workspace ONE UEM控制台（CVE-2021-22029，CVSS分数：5.3）中的拒绝服务漏洞一周后，这些补丁也会出现。有权访问“/API/system/admins/session”的参与者可能会滥用该漏洞，导致API因速率限制不当而不可用。