متابعات-ميكسي نيوز
VMware…تم شحن برنامج VMware يوم الأربعاء تحديثات الأمن لمعالجة نقاط الضعف في العديد من المنتجات التي يمكن أن يستغلها المهاجم للسيطرة على نظام متأثر.
تؤثر نقاط الضعف الأمنية الست (من CVE-2021-22022 إلى CVE-2021-22027 ، درجات CVSS: 4.4-8.6)
- CVE-2021-22022 (CVSS SCORE: 4.4) – ملف تعسفي قراءة الضعف في VREALIZE MANGER API ، مما يؤدي إلى الكشف عن المعلومات
- CVE-2021-22023 (CVSS SCORE: 6.6) – تعرضية مرجعية للكائنات المباشرة غير الآمنة في واجهة برمجة تطبيقات مدير العمليات VREALIZE
- CVE-2021-22024 (CVSS SCORE: 7.5) – تعرض خطوط السجل التعسفية في API ، مما يؤدي إلى الكشف عن المعلومات الحساسة
- CVE-2021-22025 (CVSS SCORE: 8.6) – Broken Control Control Trability in Vrialize Manager API ، مما يتيح لممثل ضار غير مصدق إضافة عقد جديدة إلى مجموعة VROPS الحالية
- CVE-2021-22026 و CVE-2021-22027 (CVSS SCORE: 7.5) – طلب التزوير من جانب الخادم في واجهة برمجة تطبيقات مدير العمليات VREALIZE ، مما يؤدي إلى الكشف عن المعلومات
الفضل في الإبلاغ عن العيوب هي egor dimitrenko للتقنيات الإيجابية (CVE-2021-22022 و CVE-2021-22023) و ThisCodecc of Moyunsec V-LAB (من CVE-2021-22024 إلى CVE-2021-22027).
بشكل منفصل ، أصدرت VMware أيضًا تصحيحات لعلاج ثغرة نصفية للبرمجة النصية (XSS) التي تؤثر على VMware VRealize Log Insight و VMware Cloud Foundation التي تنبع من حالة التحقق من إدخال المستخدم غير السليم ، مما يتيح للخصم مع توصيل محملات المستخدم للحقن الخبيثة عبر LOGH INTID UI الذي يتم تنفيذه عند الوصول إلى الضرر.
العيب ، الذي تم تعيين المعرف CVE-2021-22021، تم تصنيف 6.5 للشدة على نظام تسجيل CVSS. تم الفضل في Marcin Kot of Prevenity و Tran Viet Quang of Vantage Point Security لاكتشاف الضعف بشكل مستقل.
تصل التصحيحات أيضًا بعد أسبوع من تصحيح VMware على خلل رفض الخدمة في وحدة التحكم في مساحة عمل VMware One UEM (CVE-2021-22029، CVSS SCORE: 5.3) أن الممثل الذي يحصل على “/API/System/Admins/Session” يمكن أن يسيء إلى جعل واجهة برمجة التطبيقات غير متوفرة بسبب الحد غير الصحيح للمعدل.
