آسیب پذیری و تهدیدات سایبری

آسیب‌پذیری‌های حیاتی در محصولات VMware

گزارش آسیب‌پذیری

7 اسفند
0 383 خواندن این مطلب 1 دقیقه زمان میبرد
آسیب‌پذیری‌های حیاتی در محصولات VMware

تاریخچه

  • 23/02/2023– نسخه 1.0 – انتشار اولیه

خلاصه

2فوریه 2023، شرکت VMware برای چند آسیب‌پذیری حیاتی تأثیرگذار بر ابزارهای VMware vRealize و Carbon Black App Control یک توصیه‌نامه منتشر کرد. آسیب‌پذیری اول با کد CVE-2023-20858 (و رتبه CVSSv3 9.1) شناخته می‌شود و بر چند نسخه از ابزار کنترل اپلیکیشن Carbon Black در ویندوز و دومین آسیب‌پذیری با کد CVE-2023-20855 (امتیاز CVSSv3 8.8) شناخته می‌شود و بر ابزارهای بنیاد ابر VMware و VMware vRealize تأثیر دارد.

جزئیات فنی

  • CVE-2023-20858:

مهاجم با دسترسی به کنسول مدیریت App Control می‌تواند از ورودی که به صورت اختصاصی طراحی شده برای دسترسی به سیستم‌عامل سرور استفاده کند. با وجود آسیب‌پذیری‌های تزریق کد، مهاجمان می‌توانند در اپلیکیشن هدف، کد یا فرمان اجرا کنند و ممکن است این کار باعث نفوذ به سیستم‌های بک-اند و همه کلاینت‌های متصل به اپلیکیشن آسیب‌پذیر شود.

  • CVE-2023-20855:

مهاجم با دسترسی غیرمدیریتی به vRealize Orchestrator، می‌تواند با استفاده از یک ورودی طراحی شده به صورت اختصاصی، محدودیت‌های تحلیل XML را دور بزند و در نهایت به اطلاعات حساس دسترسی پیدا کرده یا سطح دسترسی خودش را افزایش دهد.

محصولات تحت تأثیر

CVE-2023-20858 بر نسخه‌های زیر از ابزار کنترل اپلیکیشن VMware Carbon Black در ویندوز تأثیر دارد:

  • ابزار VMware Carbon Black App Control برای ویندوز نسخه‌های 7.x؛
  • ابزار VMware Carbon Black App Control برای ویندوز نسخه‌های 8.x؛
  • ابزار VMware Carbon Black App Control برای ویندوز نسخه‌های 9.x؛

CVE-2023-20855 بر محصولات زیر تأثیر دارد:

  • ابزار VMware vRealize Orchestrator که روی لوازم مجازی شبکه با نسخه x اجرا می‌شود؛
  • نسخه‌های x از اتوماسیون VMware vRealize؛
  • نسخه x از ابزار بنیاد ابر VMware.

توصیه‌ها

CERT-EU اعمال به‌روزرسانی‌های زیر را توصیه می‌کند:

  • به‌روزرسانی ابزار کنترل اپلیکیشن VMware Carbon Black به نسخه‌های اصلاح شده مربوطه:
  1. 7.8 ;
  2. 8.6 ;
  3. 8.9.4.
  • به‌روزرسانی ابزار vRealize Orchestrator VMware و اتوماسیون به نسخه اصلاح شده 8.11.1؛
  • به‌روزرسانی بنیاد ابر VMware به نسخه اصلاح شده.

منابع

7 اسفند
0 383 خواندن این مطلب 1 دقیقه زمان میبرد

نوشته های مشابه

چند آسیب‌پذیری در محصولات سیسکو

چند آسیب‌پذیری در محصولات سیسکو

14 فروردین
وجود نقص امنیتی حیاتی در مرکز داده و سرور مدیریت سرویس جیرا (Jira)

وجود نقص امنیتی حیاتی در مرکز داده و سرور مدیریت سرویس جیرا (Jira)

14 فروردین
به‌روزرسانی‌های امنیتی حیاتی برای FortiNAC و FortiWeb

به‌روزرسانی‌های امنیتی حیاتی برای FortiNAC و FortiWeb

22 اسفند
Zyxel یک به‌روزرسانی امنیتی منتشر کرد

Zyxel یک به‌روزرسانی امنیتی منتشر کرد

22 اسفند

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا
سبد خرید
  • هیچ محصولی در سبدخرید نیست.
جمع کل:
تومان
نمایش سبد خرید
ورود | ثبت نام
شماره موبایل یا پست الکترونیک خود را وارد کنید
برگشت
کد تایید را وارد کنید
کد تایید برای شماره موبایل شما ارسال گردید
ورود با رمز عبور
ارسال مجدد کد تا دیگر
دریافت مجدد کد تایید
برگشت
رمز عبور را وارد کنید
رمز عبور حساب کاربری خود را وارد کنید
ورود با رمز یکبار مصرف
بازیابی رمز عبور
برگشت
رمز عبور را وارد کنید
رمز عبور حساب کاربری خود را وارد کنید
بازیابی رمز عبور
برگشت
درخواست بازیابی رمز عبور
لطفاً پست الکترونیک یا موبایل خود را وارد نمایید
برگشت
کد تایید را وارد کنید
کد تایید برای شماره موبایل شما ارسال گردید
ورود با رمز عبور
ارسال مجدد کد تا دیگر
دریافت مجدد کد تایید
ایمیل بازیابی ارسال شد!
لطفاً به صندوق الکترونیکی خود مراجعه کرده و بر روی لینک ارسال شده کلیک نمایید.
تغییر رمز عبور
یک رمز عبور برای اکانت خود تنظیم کنید
تغییر رمز با موفقیت انجام شد
0