近日,安全狗应急响应中心关注到VMware官方发布安全公告,披露出在VMware Aria Operations Networks 6.x系列版本中存在安全漏洞(CVE-2023-20887),具有网络访问权限的攻击者利用该漏洞通过执行命令注入攻击,从而导致远程代码执行。
漏洞描述
VMware Aria Operations for Networks (以前称为vRealize Network Insight,vRNI)是一款网络可视性和分析工具,可以帮助管理员优化网络性能或管理和扩展各种VMware和Kubernetes部署。VMware Aria Operations for Networks 6.x中修复了一个反序列化漏洞(CVE-2023-20888),对Aria Operations for Networks 具有网络访问权限的经过身份验证的恶意用户可以执行反序列化攻击,从而导致远程代码执行;以及修复了另一个信息泄露漏洞(CVE-2023-20889),对Aria Operations for Networks具有网络访问权限的恶意行为者可能能够执行导致信息泄露的命令注入攻击。
安全通告信息
漏洞名称 | VMware Aria Operations for Networks命令注入漏洞 |
漏洞影响版本 | VMware Aria Operations Networks版本:6.x |
漏洞危害等级 | 高危 |
厂商是否已发布漏洞补丁 | 是 |
版本更新地址 | https://kb.vmware.com/s/article/92684 |
安全狗总预警期数 | 265 |
安全狗发布预警日期 | 2023年06月14日 |
安全狗更新预警日期 | 2023年06月14日 |
发布者 | 安全狗海青实验室 |
安全建议
目前,官方已发布新版本修复了该漏洞,请受影响的用户升级到安全版本。
参考链接
https://tomcat.apache.org/security-10.html
https://commons.apache.org/proper/commons-fileupload/security-reports.html