VMware 已发布安全更新,以修复 Aria Operations for Networks 中可能导致信息泄露和远程代码执行的三个缺陷。这三个漏洞中最严重的是一个被跟踪为CVE-2023-20887(CVSS 评分:9.8)的命令注入漏洞,它可能允许具有网络访问权限的恶意行为者实现远程代码执行。VMware 还修补了另一个反序列化漏洞( CVE-2023-20888 ),该漏洞在 CVSS 评分系统中的评分为 9.1(满分 10)。该公司在一份公告中表示:“具有 VMware Aria Operations for Networks 网络访问权限和有效‘成员’角色凭证的恶意行为者可能能够执行反序列化攻击,从而导致远程代码执行。”第三个安全缺陷是高严重性信息泄露漏洞(CVE-2023-20889,CVSS 评分:8.8),可能允许具有网络访问权限的攻击者执行命令注入攻击并获得对敏感数据的访问权限。影响 VMware Aria Operations Networks 版本 6.x 的三个缺点已在以下版本中得到修复:6.2、6.3、6.4、6.5.1、6.6、6.7、6.8、6.9 和 6.10。没有缓解这些问题的解决方法。该警报发布之际,思科发布了针对其 Expressway 系列和 TelePresence 视频通信服务器 (VCS) 中严重缺陷的修复程序,该缺陷可能“允许具有管理员级别只读凭据的经过身份验证的攻击者将其权限提升为具有读写凭据的管理员一个受影响的系统。”特权升级缺陷(CVE-2023-20105,CVSS 评分:9.6)表示,源于对密码更改请求的不正确处理,从而允许攻击者更改系统上任何用户的密码,包括管理读写用户,然后模拟该用户。同一产品中的第二个高危漏洞(CVE-2023-20192,CVSS 评分:8.4)可能允许经过身份验证的本地攻击者执行命令和修改系统配置参数。作为 CVE-2023-20192 的解决方法,思科建议客户禁用只读用户的 CLI 访问。这两个问题已分别在 VCS 版本 14.2.1 和 14.3.0 中得到解决。虽然没有证据表明上述任何缺陷已被滥用,但强烈建议尽快修补漏洞以减轻潜在风险。该公告还发现了RenderDoc中的三个安全漏洞( CVE-2023-33863、CVE-2023-33864和CVE-2023-33865),这是一个开源图形调试器,可能允许公告获得提升的特权和执行任意代码。
免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。
查看原文
