VMware两个漏洞风险通告

VMware两个漏洞风险通告
2023-2-22 13:11:57 Author: 赛博昆仑CERT(查看原文) 阅读量:20 收藏

-赛博昆仑漏洞安全通告-

VMware两个漏洞风险通告

漏洞描述

VMware Carbon Black App Control 是一款应用允许列表解决方案，旨在使安全运维团队能够锁定新系统和旧版系统，防止发生不必要的更改，简化合规性流程并为企业系统提供保护。VMware Carbon Black App Control 是市场上最成熟且可扩展的应用控制解决方案之一。

VMware vRealize Orchestrator是一个现代工作流自动化平台，可简化并自动执行复杂的数据中心基础架构任务，以提高可延展性和敏捷性。

近日，赛博昆仑CERT监测到VMware公司官方发布了安全通告，披露了涉及VMware Carbon Black App Control、VMware vRealize Orchestrator的两个漏洞。分别为：

CVE-2023-20858 VMware Carbon Black App Control注入漏洞
CVE-2023-20855 VMware vRealize Orchestrator XML 外部实体 (XXE) 漏洞

漏洞名称	VMware Carbon Black App Control注入漏洞
漏洞公开编号	CVE-2023-20858
昆仑漏洞库编号	CYKL-2023-001625
漏洞类型	代码注入	公开时间	2023-02-21
漏洞等级	高危	CVSS评分	9.1
漏洞描述	具有 App Control 管理控制台访问权限的远程用户可以发送特制请求并在目标操作系统上执行任意代码。
影响版本	8.9.x<= VMware Carbon Black App Control <8.9.4 8.8.x<= VMware Carbon Black App Control <8.8.6 8.7.x<= VMware Carbon Black App Control <8.7.8
PoC状态	未知	EXP状态	未知
在野利用	未知	技术细节	未知

漏洞名称	VMware vRealize Orchestrator XML 外部实体 (XXE) 漏洞
漏洞公开编号	CVE-2023-20855
昆仑漏洞库编号	CYKL-2023-001626
漏洞类型	XXE	公开时间	2023-02-21
漏洞等级	高危	CVSS评分	8.8
漏洞描述	对 vRealize Orchestrator具有非管理访问权限的远程用户能够使用特制输入来绕过 XML 解析限制，从而导致访问敏感信息。
影响版本	8.x<=VMware vRealize Orchestrator <8.11.1 8.x<=VMware vRealize Automation <8.11.1
PoC状态	未知	EXP状态	未知
在野利用	未知	技术细节	未知

修复建议

目前，官方已发布修复建议，建议受影响的用户尽快升级至安全版本。

VMware Carbon Black App Control 8.9.4
VMware Carbon Black App Control 8.8.6
VMware Carbon Black App Control 8.7.8
VMware vRealize Orchestrator 8.11.1
VMware vRealize Automation 8.11.1

技术咨询

赛博昆仑支持对用户提供轻量级的检测规则或热补方式，可提供定制化服务适配多种产品及规则，帮助用户进行漏洞检测和修复。

联系邮箱：[email protected]

公众号：赛博昆仑CERT

参考链接

https://www.vmware.com/security/advisories/VMSA-2023-0004.html
https://www.vmware.com/security/advisories/VMSA-2023-0005.html

时间线

2023年2月21日，VMware厂商发布安全通告
2023年2月22日，赛博昆仑CERT发布安全风险通告

文章来源: http://mp.weixin.qq.com/s?__biz=MzkxMDQyMTIzMA==&mid=2247483909&idx=1&sn=533f8108b077f93eb159607189beb972&chksm=c12aff84f65d7692eabce8c40a4156cda7f9b3e034a6d8c2e6493812d7dad9d61f595b0160a0#rd
如有侵权请联系:admin#unsafe.sh