在修复vSphere Web Client(FLEX/Flash)中的任意文件读取和服务器端请求伪造(SSRF)漏洞后,VMware发布了vCenter Server的安全更新。最严重的是任意文件读取漏洞(CVE-2021-21980),CVSS评分为7.5,滥用该漏洞可能使恶意行为者能够访问敏感信息。SSRF漏洞(CVE-2021-22049)的CVSS评分为6.5,是在vSAN Web Client(vSAN UI)插件中发现的。VMware已发布安全更新,以解决vCenter Server 6.5版本和6.7版本的两个漏洞。
Oracle VM VirtualBox中的一个漏洞(跟踪为CVE-2021-2442)可能会被利用来破坏虚拟机管理程序并触发DoS条件。该漏洞由SentinelLabs的Max Van Amerongen发现,其CVSS评分为6.0,影响6.1.24之前的版本。Amerongen还发现了另外两个分别被追踪为CVE-2021-2145和CVE-2021-2310的漏洞。CVE-2021-2145是Oracle VirtualBox NAT中的整数下溢权限提升漏洞,而CVE-2021-2310是Oracle VirtualBox NAT中基于堆的缓冲区溢出权限提升漏洞。这些漏洞是由于缺乏对用户输入数据的正确验证造成的,攻击者利用这些漏洞可以提升权限并在易受攻击的Oracle VM VirtualBox上执行任意代码。这两个漏洞都影响6.1.20之前的版本,Oracle已于2021年4月解决了这两个漏洞。
发表于 2021-11-25 16:32
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡