VMware上周發布安全公告,修補混合雲平臺Cloud Foundation 2項漏洞,包含風險值達9.8的遠端程式碼執行(remote code execution,RCE)漏洞。
編號CVE-2021-39144的RCE漏洞存在VMware Cloud Foundation中的開源函式庫XStream中。VMware說明,攻擊者可透過內建XStream的授權終端在VMware Cloud Foundation(NSX-V)執行輸入序列化(input serialization),而在目標裝置上以root權限,遠端執行程式碼。VMware將之風險評為9.8,屬於重大風險。
VMware同時還發布Cloud Foundation更新版,修補XML外部實體(XML External Entity,XXE)攻擊漏洞,編號CVE-2022-31678。此類漏洞發生在配置不當的XML解析器處理指向外部實體的檔案。以這項漏洞來說,可能讓未授權攻擊者發動阻斷服務攻擊,或是洩露敏感文件。本漏洞風險值為5.3,屬於中度風險。
最新的二項漏洞皆影響Cloud Foundation 3.11及以前版本。4.x版本則不受影響。
由於沒有任何暫時性緩解方法,VMware建議用戶應儘速安裝更新版軟體。
熱門新聞
2024-11-18
2024-11-20
2024-11-12
2024-11-15
2024-11-15
2024-11-19
2024-11-14
Advertisement