VMware周二发布了补丁,以解决影响其Carbon Black App Control产品的关键安全漏洞。
该漏洞被跟踪为 CVE-2023-20858,其 CVSS 分数为 9.1(满分 10 分),并影响 App Control 版本 8.7.x、8.8.x 和 8.9.x。
虚拟化服务提供商将此问题描述为注入漏洞。安全研究员Jari Jääskelä因发现和报告该漏洞而受到赞誉。
“对App Control管理控制台具有特权访问权限的恶意行为者可能能够使用特制输入,允许访问底层服务器操作系统,”该公司在一份公告中表示。
VMware表示,没有解决该漏洞的解决方法,因此客户需要更新到版本8.7.8,8.8.6和8.9.4以减轻潜在风险。
值得指出的是,Jääskelä 还报告了同一产品中的两个关键漏洞(CVE-2022-22951 和 CVE-2022-22952,CVSS 分数:9.1),VMware 于 2022 年 <> 月解决了这两个漏洞。
该公司还修复了一个 XML 外部实体 (XXE) 漏洞 (CVE-2023-20855,CVSS 评分:8.8),影响 vRealize Orchestrator、vRealize Automation 和 Cloud Foundation。
“对vRealize Orchestrator具有非管理访问权限的恶意行为者可能能够使用特制输入来绕过XML解析限制,从而导致访问敏感信息或可能的权限升级,”VMware说。
威胁参与者在攻击中针对 Fortinet 产品漏洞的情况并不少见,因此用户尽快安装补丁至关重要。
觉得这篇文章有趣吗?关注我们
LinkedIn阅读我们发布的更多独家内容。