漏洞风险提示（20220218）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1  VMware NSX Data Center for vSphere CLI shell命令注入漏洞（CVE-2022-22945）
一、漏洞描述：
       
        VMware软件原生集成计算、网络和存储虚拟化技术及自动化和管理功能，支持企业革新其基础架构、自动化IT服务的交付和管理及运行新式云原生应用和基于微服务应用。
        VMware NSX Data Center for vSphere在NSX Edge设备组件中包含一个CLI shell注入漏洞，对NSX-Edge设备(NSX-V)具有SSH访问权限的攻击者成功利用此漏洞可以在设备中以root身份执行任意命令。
二、风险等级：
          高危
三、影响范围：
        NSX Data Center for vSphere < 6.4.13
四、修复建议：
        目前官方已发布漏洞修复补丁，请受影响的用户及时升级补丁以修复该漏洞，参考链接：
        https://www.vmware.com/security/advisories/VMSA-2022-0005.html

---

2  XHCI USB控制器Use-after-free漏洞（CVE-2021-22040）
一、漏洞描述：
       
        VMware软件原生集成计算、网络和存储虚拟化技术及自动化和管理功能，支持企业革新其基础架构、自动化IT服务的交付和管理及运行新式云原生应用和基于微服务应用。
        VMware ESXi、Workstation和Fusion在XHCI USB控制器中包含一个释放后使用漏洞，在虚拟机中具有本地管理权限的攻击者可能利用此漏洞，在宿主机上以运行虚拟机的VMX进程的身份执行代码。
二、风险等级：
          高危
三、影响范围：
       
四、修复建议：
        目前官方已发布漏洞修复补丁，请受影响的用户及时升级补丁以修复该漏洞，参考链接：
        https://www.vmware.com/security/advisories/VMSA-2022-0004.html

---

3  UHCI USB控制器Double-fetch漏洞（CVE-2021-22041）
一、漏洞描述：
       
        VMware软件原生集成计算、网络和存储虚拟化技术及自动化和管理功能，支持企业革新其基础架构、自动化IT服务的交付和管理及运行新式云原生应用和基于微服务应用。
        VMware ESXi、Workstation和Fusion在UHCI USB控制器中包含一个双重提取漏洞，在虚拟机中具有本地管理权限的攻击者可能利用此漏洞，在宿主机上以运行虚拟机的VMX进程的身份执行代码。
二、风险等级：
          高危
三、影响范围：
       
四、修复建议：
        目前官方已发布漏洞修复补丁，请受影响的用户及时升级补丁以修复该漏洞，参考链接：
        https://www.vmware.com/security/advisories/VMSA-2022-0004.html

---

4  ESXi settingsd未授权访问漏洞（CVE-2021-22042）
一、漏洞描述：
       
        VMware软件原生集成计算、网络和存储虚拟化技术及自动化和管理功能，支持企业革新其基础架构、自动化IT服务的交付和管理及运行新式云原生应用和基于微服务应用。
        VMware ESXi、Workstation和Fusion在UHCI USB控制器中包含一个双重提取漏洞，在虚拟机中具有本地管理权限的攻击者可能利用此漏洞，在宿主机上以运行虚拟机的VMX进程的身份执行代码。
二、风险等级：
          高危
三、影响范围：
       
四、修复建议：
        目前官方已发布漏洞修复补丁，请受影响的用户及时升级补丁以修复该漏洞，参考链接：
        https://www.vmware.com/security/advisories/VMSA-2022-0004.html