近日,发现VMware官方发布了VMware vRealize Log Insight的风险通告,漏洞编号为CVE-2022-31706,CVE-2022-31704,CVE-2022-31710,CVE-2022-31711,漏洞等级:高危,漏洞评分:9.8。
vRealize Log lnsight 提供了高度可扩展的异构日志管理功能,它具有多个可在其中执行操作的直观仪表盘、完善的分析功能和范围更广的第三方延展性。VMware vRealize Log Insight 提供集中式日志管理、深度运维可见性和智能分析 (sysin),从基础架构到跨本地部署和私有云环境的应用,都能提供更好的故障排除和更高的安全性。
一、漏洞介绍
CVE-2022-31706: VMware vRealize Log Insight目录遍历漏洞:
该漏洞存在于vRealize Log Insight中,是一个目录遍历漏洞。未经身份验证的攻击者可以通过组合利用CVE-2022-31706、CVE-2022-31704将恶意文件写入服务器,从而导致远程代码执行。
CVE-2022-31704: VMware vRealize Log Insight访问控制漏洞:
该漏洞存在于vRealize Log Insight中,是一个访问控制漏洞。未经身份验证的攻击者可以通过组合利用CVE-2022-31706、CVE-2022-31704将恶意文件写入服务器,从而导致远程代码执行。
CVE-2022-31710: VMware vRealize Log Insight 反序列化漏洞:
该漏洞存在于vRealize Log Insight中,是一个反序列化漏洞。未经身份验证的攻击者可以远程触发不可信数据的反序列化,这可能导致拒绝服务。
CVE-2022-31711: VMware vRealize Log Insight信息泄露漏洞:
该漏洞存在于vRealize Log Insight中,是一个信息泄露漏洞。攻击者可以在未经身份验证的情况下远程收集敏感会话和应用程序信息。
风险等级:高风险。
二、漏洞影响
影响范围: VMware vRealize Log Insight=8.x < 8.10.2 VMware Cloud Foundation (VMware vRealize Log Insight)=3.x、4.x
三、修复建议
目前Oracle已发布补丁修复了上述漏洞,根据影响版本中的信息,排查并升级到安全版本。
VMware vRealize Log Insight
下载链接:https://docs.vmware.com/en/vRealize-Log-Insight/8.10.2/rn/vrealize-log-insight-8102-release-notes/index.html
VMware Cloud Foundation (VMware vRealize Log Insight)
参考链接:https://kb.vmware.com/s/article/90668。
