漏洞背景

近日，嘉诚安全监测到VMware Aria Automation中修复了一个访问控制不当漏洞，漏洞编号为：CVE-2023-34063。

VMware Aria Automation（以前称为 vRealize Automation）是一个基础架构自动化平台，可跨 VMware Cloud 和原生公有云提供安全的自助式多云环境监管和资源生命周期管理。

鉴于漏洞危害较大，嘉诚安全提醒相关用户尽快更新至安全版本，避免引发漏洞相关的网络安全事件。

漏洞详情

经研判，该漏洞为高危漏洞。由于VMware Aria Automation受影响版本中缺乏访问控制，攻击者可利用该漏洞在获得权限的情况下，构造恶意数据执行未授权访问攻击，最终执行未经授权的敏感操作。

危害影响

影响版本

VMware Aria Automation 8.14.x

VMware Aria Automation 8.13.x

VMware Aria Automation 8.12.x

VMware Aria Automation 8.11.x

VMware Cloud Foundation (Aria Automation) 5.x、4.x

修复建议

根据影响版本中的信息，建议相关用户尽快更新至安全版本，即VMware Aria Automation 8.16版本。

参考链接：

https://www.vmware.com/