菜单
漏洞描述:
VMware Aria Operations for Networks (前名为vRealize Network Insight)是 VMware 公司提供的一款网络可视性和分析工具,用于优化网络性能或管理各种VMware和Kubernetes部署。
2023年6月8日,VMware发布安全公告,修复了Aria Operations Networks 6.x中的一个命令注入漏洞,漏洞编号:CVE-2023-20887,漏洞危害等级:严重。
VMware Aria Operations for Networks 6.x版本中由于 createSupportBundle 方法在执行系统调用之前未对用户提供的字符串进行验证,未经身份验证的攻击者可以 root 的身份远程执行任意代码。
影响版本:
Aria Operations for Networks=6.2
Aria Operations for Networks=6.3
Aria Operations for Networks=6.4
Aria Operations for Networks=6.5.1
Aria Operations for Networks=6.6
Aria Operations for Networks=6.7
Aria Operations for Networks=6.8
Aria Operations for Networks=6.9
Aria Operations for Networks=6.10
修复建议
目前VMware已经发布了这些漏洞的补丁,Aria Operations for Networks 6.2、6.3、6.4、6.5.1、6.6、6.7、6.8、6.9、6.10版本用户可及时安装补丁。
下载链接:
https://kb.vmware.com/s/article/92684
参考链接:
https://kb.vmware.com/s/article/92684
https://www.vmware.com/security/advisories/VMSA-2023-0012.html
https://www.bleepingcomputer.com/news/security/vmware-fixes-critical-vulnerabilities-in-vrealize-network-analytics-tool/
粤公网安备 44010402002568号