VMware 修复Aria Automation 中严重的SQL注入漏洞

于 2024-07-11 17:21:51 发布
阅读量63 收藏
点赞数
文章标签: sql 数据库
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247520038&idx=1&sn=c47470c41eba485c6761c101be23ab04&chksm=eb2024faa6644d8f5bd29018051d2ae7270d4abae0d102ba50189f731278702173f311378c17&scene=126&sessionid=0
版权

c20d8b5ca4fe79e2d11c88e0390363d9.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

本周三,VMware 修复了位于 Aria Automation 产品中的一个高危SQL注入漏洞,并提醒称认证的恶意用户可利用该漏洞操控数据库。

该漏洞的编号是CVE-2024-22280,攻击者通过特殊构造的SQL查询可在数据库中越权读写。该漏洞的CVSS评分为8.5。受影响产品包括 VMware Aria Automation 8.x 和 VMware Cloud Foundation 5.x和4.x版本。

VMware 在安全公告中提到,“VMware Aria Automation 未应用正确的输入验证,从而导致SQL注入。认证的恶意人员可输入特殊构造的SQL查询并在数据库中执行越权读写操作。”

VMware 表示该漏洞已由研究人员私下报送给魁北克政府网络防御中心。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

VMware 修复多个严重漏洞

VMware 修复Workstation 和 Fusion 产品中的多个漏洞

VMware修复多个严重的ESXi 沙箱逃逸漏洞

VMware督促管理员删除易受攻击的认证插件

VMware 披露严重的VCD Appliance认证绕过漏洞,无补丁

原文链接

https://www.securityweek.com/vmware-patches-critical-sql-injection-flaw-in-aria-automation/

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

af933ea0779fd79d9bcebd8fe1a32827.jpeg

46ac26c2c15d3fced96872c3e431d34a.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   fb8e05ffbebc80fbb73b6aa2c5f608f2.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
Spring Data MongoDB SpEL表达式注入漏洞(CVE-2022-22980)分析与利用
不忘初心,护天下安全!
06-24 2087
Spring Data for MongoDB是 Spring Data 项目的一部分,该项目旨在为新的数据存储提供熟悉和一致的基于Spring的编程模型,同时保留存储的特定特征和功能。 6月20日,VMware发布安全公告,修复了Spring Data MongoDB的一个SpEL 表达式注入漏洞(CVE-2022-22980),该漏洞的CVSSv3评分为8.2。 Spring Data MongoDB应用程序在对包含查询参数占位符的SpEL表达式使用@Query或@Aggr
Vmware vcenter未授权任意文件上传漏洞(CVE-2021-21972)
MD@@nr丫卡uer
02-25 4627
背景 CVE-2021-21972 vmware vcenter的一个未授权的命令执行漏洞。该漏洞可以上传一个webshell至vcenter服务器的任意位置,然后执行webshell即可。 影响版本 vmware:esxi:7.0/6.7/6.5 vmware:vcenter_server:7.0/6.7/6.5 漏洞复现 fofa查询 语法:title="+ ID_VC_Welcome +" POC https://x.x.x.x/ui/vropspluginui/rest/services/uplo
VMware vcenter/ESXI系列漏洞总结
做自己喜欢的事,并将其发挥到极致!
06-22 2万+
本文章主要对VMware ESXI、VMware VCenter系列进行漏洞整理,更多内容后续补充!
vCenter 服务器漏洞可导致代码执行和认证绕过
smellycat000的专栏
06-25 952
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士VMware 修复了位于 vCenter Server 的多个高危漏洞,可导致攻击者获得代码执行权限并绕过未修复系统上的认证。vCenter Server 是VMware 的 vSphere 套件控制心,也是一款服务器管理解决方案,帮助管理员管理和监控虚拟化基础设施。这些漏洞位于 vCenter Server 使用的 DCE/RPC 协议实现...
干货分享 | VMware vCenter漏洞实战利用总结
mingyqf的博客
01-31 2226
零队 [EchoSec](javascript:void(0)😉收录于合集#vmware1个文章来源:零队**前言**Vcenter一般指VMware vCenter Server,其提供了一个可伸缩、可扩展的平台,为虚拟化管理奠定了基础,可集管理VMware vSphere环境,与其他管理平台相比,极大地提高了IT管理员对虚拟环境的控制,Vcenter可以使管理员从一个位置深入了解虚拟基础架构的集群、主机、虚拟机、存储、客户操作系统和其他关键组件等所有信息。利用思路。
VmWare vCenter Server漏洞修复方案
Only No.1
07-12 861
vCenter Server 释放后重用漏洞(CVE-2023-20893)vCenter Server 越界写入漏洞(CVE-2023-20894)vCenter Server 越界读取漏洞(CVE-2023-20895)vCenter Server 越界读取漏洞(CVE-2023-20896)vCenter Server 堆溢出漏洞(CVE-2023-20892)Apache Tomcat版本:>=11.0.0-M6。Apache Tomcat 版本:11.0.0-M5。以上五个漏洞受影响版本。
VMware vSphere 6.5 全套文手册
10-31
包含ESXi 和 vCenter Server 产品文档、VMware Tools、VMware Vitual SAN、VMware vSphere Data Protection、vSphere Update Manager、补充文档、兼容性和配置限制、命令行界面、新功能和发行说明、vsphere-admin-...
win11环境下VMware Workstation pro运行虚拟机蓝屏修复
04-03
- 保持Windows 11和VMware Workstation Pro都处于最新状态,因为最新的更新通常会包含针对这类问题的修复。 6. **分析蓝屏错误代码** - 当蓝屏发生时,注意错误代码(例如:0x00000124或0x0000007B),这些代码...
1、SQL注入模块——DVWA
qwsn
01-20 2729
0x01、DVWA环境的搭建(Linux版本)(用到了VMwareworkstations)
VMware虚拟机安装Ubuntu 2023最新版详细图文安装教程(VMware虚拟机安装+Ubuntu下载+VMware虚拟机配置运行)
热门推荐
流苏的博客
12-02 18万+
Ubuntu 2023来啦,VMware虚拟机安装Ubuntu 2023最新版详细图文安装教程(VMware虚拟机安装+Ubuntu下载+VMware虚拟机配置),数千字图文详解,一步步教会你如何安装、配置、运行虚拟机及Ubuntu。
vCenter 漏洞利用总结
最新发布
内心不种满鲜花就会长满杂草
07-24 3193
VMware vCenter是VMware公司推出的集化虚拟化管理平台。它是VMware vSphere虚拟化解决方案的核心组件之一。vCenter的主要功能是管理和监控整个vSphere虚拟化基础架构,包括多个ESXi主机和虚拟机。vSpherevSphere是VMware的虚拟化平台的总称,它是一套完整的虚拟化解决方案,包括了多个组件和功能,用于构建和管理虚拟化环境。
CVE-2010-22005漏洞复现
Foreverlove112的博客
09-21 968
CVE-2010-22005漏洞复现
VMware vCenter Server远程代码执行漏洞复现 CVE-2021-21972
Ms08067安全实验室
08-18 1万+
文章来源|MS08067安全实验室本文作者:Taoing(WEB高级攻防班讲师)0x00 漏洞描述CVE-2021-21972 vmware vcenter的一个未任意位置,然后执行web...
CVE-2021-21972 VMware vCenter Server 远程代码漏洞
HEAVEN569的博客
08-12 1288
1.漏洞介绍 vSphere Client(HTML5)在 vCenter Server 插件存在一个远程执行代码漏洞。未授权的攻击者可以通过开放 443 端口的服务器向 vCenter Server 发送精心构造的请求,从而在服务器上写入 webshell,最终造成远程任意代码执行。在 CVE-2021-21972 VMware vCenter Server 远程代码漏洞 攻击者可直接通过443端口构造恶意请求,执行任意代码,控制vCenter。 2.靶机搭建 1.安装EXSI 6.7 链接:htt
VMware vCenter Server 任意文件上传漏洞复现 CVE-2021-22005
Ms08067安全实验室
11-06 6203
文章来源|MS08067 “WEB攻防”知识星球本文作者:Taoing(WEB高级漏洞挖掘班讲师)追踪最新漏洞 认准Web星球1、漏洞描述2、漏洞影响3、环境搭建4、漏洞复现5、修复方案...
VMware vCenter Server 任意文件上传漏洞(CVE-2021-22005)检测
ML_Team的博客
09-26 3986
0x01 前言 很凑巧,今天刚出的VMware vCenter Server 任意文件上传漏洞通告,立马就在工作用上了。正在内网渗透测试的我,刚发现一目标存在VMware vCenter任意文件读取漏洞,就看到阿里云应急响应心发出的通告,随后立马去找到POC去检测,借此记录一下。 0x02 漏洞描述 VMware是一家云基础架构和移动商务解决方案厂商,提供基于VMware的虚拟化解决方案。2021年9月22日,VMware 官方发布安全公告,披露了包括 CVE-2021-22005 VMwar
VMware vCenter Server 任意文件读取漏洞通告
爱国小白帽
10-15 2426
原创 360CERT [三六零CERT](javascript:void(0)???? 今天 报告编号:B6-2020-101501 报告来源:360CERT 报告作者:360CERT 更新日期:2020-10-15 0x01 漏洞简述 2020年10月15日,360CERT监测发现 @ptswarm 发布了 VMware vCenter 任意文件读取的风险通告,漏洞等级:高危,漏洞评分:7.5。 远程攻击者通过访问开放在外部的 vCenter 控制台,可以任意读取主机上的文件。(可读取 vCenter
Vmware vcenter未授权任意文件/RCE漏洞的复现与分析
weixin_46236101的博客
02-28 4360
0x01 背景 vSphere是VMware推出的虚拟化平台套件,包含ESXi、vCenter Server等一系列的软件。其vCenter Server为 ESXi的控制心,可从单一控制点统一管理数据心的所有vSphere主机和虚拟机,使得IT管理员能够提高控制能力,简化入场任务,并降低IT环境的管理复杂性与成本。 vSphere Client(HTML5)在vCenter Server插件存在一个远程执行代码漏洞。未授权的攻击者可以通过开放443端口的服务器向vCenter Server发送
WebGoat实战:探索SQL与XPATH注入漏洞
本资源是一份关于软件安全实验的详细指南,着重于使用...这份资源提供了一个实战性的教学平台,通过WebGoat模拟真实环境SQL注入漏洞,帮助学习者掌握应用层安全测试方法,增强对网络安全威胁的理解和应对能力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值