Broadcom提醒用户应用补丁以修复VMware云管理工具中的严重漏洞

关键要点

VMware修复了影响其云管理平台VMware Aria的多个高危漏洞，这些漏洞可能导致敏感凭证被攻击者窃取。Broadcom透露，最近披露的五个漏洞中有两个属于高危信息泄露缺陷。已发布补丁以解决这些漏洞，建议用户尽快更新。

来源：Michael Vi / Shutterstock

VMware公司修复了多个影响其云管理平台CMPVMware Aria的高风险漏洞，这些漏洞可能允许攻击者从该虚拟化巨头的IT管理和日志解决方案中窃取敏感凭证。母公司Broadcom在周四发布的公告中指出，最近披露的五个漏洞中有两个是“高危”的信息泄露缺陷，分别影响VMware Aria Operations和VMware Aria Operations for Logs组件。

“多个漏洞在VMware Aria Operations for Logs和VMware Aria Operations中被私下报告给VMware，”Broadcom在公告中提到。“修复这些漏洞的补丁已在受影响的VMware产品中发布。”

VMware Cloud FoundationVCF，即VMware综合的混合云基础设施部署和管理解决方案，同样受这些漏洞影响，因为VMware Aria与其高度集成，以提供云管理和基础设施的运营洞察。

凭证泄露的风险

影响VMware Aria Operations for Logs的一个漏洞CVE202522218专注于日志收集、实时分析、故障排除和安全事件检测，因其低权限的可利用性而被赋予了高危的CVSS评分85/10，这可能导致凭证泄露。

“具有仅查看管理员权限的恶意用户可能能够读取与VMware Aria Operations for Logs集成的VMware产品的凭证，”Broadcom表示。

另一个类似漏洞CVE202522222同样需要低权限才能利用，影响负责基础设施监控、性能优化、容量规划、自动化和成本管理的VMware Aria Operations，并被赋予了CVSS 77/10的评分。

推特加速器

“拥有非管理权限的恶意用户可能会利用此漏洞，通过已知的有效服务凭证ID检索外部插件的凭证，”Broadcom在公告中补充道。

这些缺陷显然影响VMware Aria Operations for Logs版本8x、VMware Aria Operations版本8x以及VCF版本5x和4x。相关问题已经在VMware Aria Operations v8183和VMware Aria Operations for Logs v8183中修复，用户被建议按照KB92148的指引修复受影响的VCF环境。

其他CSS和特权提升漏洞

VMware Aria Operations for Logs还包含一个存储型跨站脚本漏洞CVE202522219，其重要性评级为CVSS 68/10，以及一个中等严重性的特权提升漏洞CVE202522220，其评级为CVSS 43/10。

另一个存储型跨站脚本漏洞CVE202522221同样影响VMware Aria Operations for Logs，其程度评级为中等52/10，可能允许具有管理权限的用户在受害者的浏览器上执行恶意脚本。

所有这些漏洞与信息泄露缺陷影响相同的VMware Aria产品和VCF版本，并在相同的更新中得到修复。Broadcom指出，补丁是解决这些问题的唯一方式，并表示“没有”可用的临时解决方案。