VMware上周發布安全公告,修補混合雲平臺Cloud Foundation 2項漏洞,包含風險值達9.8的遠端程式碼執行(remote code execution,RCE)漏洞。

編號CVE-2021-39144的RCE漏洞存在VMware Cloud Foundation中的開源函式庫XStream中。VMware說明,攻擊者可透過內建XStream的授權終端在VMware Cloud Foundation(NSX-V)執行輸入序列化(input serialization),而在目標裝置上以root權限,遠端執行程式碼。VMware將之風險評為9.8,屬於重大風險。

VMware同時還發布Cloud Foundation更新版,修補XML外部實體(XML External Entity,XXE)攻擊漏洞,編號CVE-2022-31678。此類漏洞發生在配置不當的XML解析器處理指向外部實體的檔案。以這項漏洞來說,可能讓未授權攻擊者發動阻斷服務攻擊,或是洩露敏感文件。本漏洞風險值為5.3,屬於中度風險。

最新的二項漏洞皆影響Cloud Foundation 3.11及以前版本。4.x版本則不受影響。

由於沒有任何暫時性緩解方法,VMware建議用戶應儘速安裝更新版軟體。

熱門新聞

Advertisement