Lỗ hổng nghiêm trọng nhất định danh CVE-2021-22025 có điểm CVSS 8,6. Đây là một lỗ hổng kiểm soát truy cập không chặt chẽ trong vRealize Operations Manager API. Việc khai thác thành công lỗ hổng sẽ phép kẻ tấn công có thể có được quyền truy cập API chưa được xác thực.
Theo VMware, kẻ tấn công chưa được xác thực có quyền truy cập mạng vào vRealize Operations Manager API có thể khai thác lỗ hổng để thêm các nút mới vào hệ thống vROps hiện có.
Cùng với đó, VMware cũng vá lỗ hổng đọc tệp nhật ký tùy ý trong vRealize Operations Manager API định danh CVE-2021-22024, có điểm CVSS 7,5 và 2 lỗ hổng giả mạo yêu cầu phía máy chủ (SSRF) định danh CVE-2021-22026 và CVE-2021 -22027, có điểm CVSS 7,5.
Kẻ tấn công chưa được xác thực với quyền truy cập mạng có thể khai thác lỗ hổng CVE-2021-22024 để đọc bất kỳ tệp nhật ký nào hoặc có thể lạm dụng lỗ hổng CVE-2021-22026 và CVE-2021-22027 để thực hiện các cuộc tấn công SSRF dẫn đến tiết lộ thông tin.
VMware cũng đã vá 2 lỗ hổng bảo mật khác trong vRealize Operations Manager API định danh CVE-2021-22023 và CVE-2021-22022. 2 lỗ hổng này có thể bị khai thác để sửa đổi thông tin và kiểm soát tài khoản của người dùng hoặc đọc bất kỳ tệp tùy ý nào trên máy chủ.
Theo VMware, vRealize Operations Manager không phải là sản phẩm duy nhất bị ảnh hưởng bởi những lỗ hổng này. VMware Cloud Foundation (vROps) và vRealize Suite Lifecycle Manager (vROps) cũng bị ảnh hưởng.
VMware đã phát hành các bản vá cho tất cả các phiên bản sản phẩm bị ảnh hưởng và khuyến cáo người dùng sớm cập nhật bản vá để tránh trở thành mục tiêu của kẻ tấn công.
Hương Mai
13:00 | 13/08/2021
10:00 | 25/07/2021
14:00 | 27/09/2021
09:00 | 09/08/2022
09:00 | 05/07/2021
14:00 | 14/06/2023
10:00 | 20/09/2021
15:00 | 11/04/2024
Vừa qua, phiên bản mới nhất của FortiOS được công bố. Đây là hệ điều hành duy nhất hội tụ liền mạch mạng và bảo mật, cùng với các bản cập nhật Fortinet Security Fabric mang đến những tính năng AI tạo sinh thế hệ mới, khả năng bảo vệ dữ liệu, quản lý dịch vụ và tác nhân hợp nhất.
13:00 | 05/04/2024
Các nhà phát triển ví tiền điện tử Leather cảnh báo về một ứng dụng giả mạo trên Apple App Store. Nguyên nhân bởi nhiều người dùng đã báo cáo rằng họ bị mất tiền sau khi nhập chuỗi bí mật vào ví Leather giả.
13:00 | 14/11/2023
WhatsApp đã bắt đầu triển khai tính năng bảo mật mới trong dịch vụ nhắn tin của mình có tên “Protect IP Address in Calls”. Tính năng này đảm bảo rằng địa chỉ IP người dùng WhatsApp không hiển thị với các bên khác trong cuộc gọi.
10:00 | 11/10/2023
Sáng ngày 06/10/2023, tại Hà Nội Mi2 JSC đã đồng hành và tham gia Hội thảo và Triển lãm quốc tế Smart Banking 2023 với chủ đề “Tạo lập, khai thác và kết nối dữ liệu: Định hình tương lai ngành ngân hàng trong kỷ nguyên số”. Sự kiện do Hiệp hội Ngân hàng Việt Nam và Tập đoàn IEC phối hợp tổ chức .
Oracle dự kiến sẽ đầu tư 1.200 tỷ Yen (khoảng 8 tỷ USD) trong 10 năm, bắt đầu từ năm nay, để mở rộng các trung tâm dữ liệu của mình tại Nhật Bản. Thông báo này được hãng đưa ra vào ngày 18/4 vừa qua, cơ sở chủ yếu ở hai khu vực mà Oracle hiện đang vận hành các trung tâm dữ liệu là Tokyo và Osaka.
10:00 | 26/04/2024