Lỗ hổng nghiêm trọng nhất định danh CVE-2021-22025 có điểm CVSS 8,6. Đây là một lỗ hổng kiểm soát truy cập không chặt chẽ trong vRealize Operations Manager API. Việc khai thác thành công lỗ hổng sẽ phép kẻ tấn công có thể có được quyền truy cập API chưa được xác thực.
Theo VMware, kẻ tấn công chưa được xác thực có quyền truy cập mạng vào vRealize Operations Manager API có thể khai thác lỗ hổng để thêm các nút mới vào hệ thống vROps hiện có.
Cùng với đó, VMware cũng vá lỗ hổng đọc tệp nhật ký tùy ý trong vRealize Operations Manager API định danh CVE-2021-22024, có điểm CVSS 7,5 và 2 lỗ hổng giả mạo yêu cầu phía máy chủ (SSRF) định danh CVE-2021-22026 và CVE-2021 -22027, có điểm CVSS 7,5.
Kẻ tấn công chưa được xác thực với quyền truy cập mạng có thể khai thác lỗ hổng CVE-2021-22024 để đọc bất kỳ tệp nhật ký nào hoặc có thể lạm dụng lỗ hổng CVE-2021-22026 và CVE-2021-22027 để thực hiện các cuộc tấn công SSRF dẫn đến tiết lộ thông tin.
VMware cũng đã vá 2 lỗ hổng bảo mật khác trong vRealize Operations Manager API định danh CVE-2021-22023 và CVE-2021-22022. 2 lỗ hổng này có thể bị khai thác để sửa đổi thông tin và kiểm soát tài khoản của người dùng hoặc đọc bất kỳ tệp tùy ý nào trên máy chủ.
Theo VMware, vRealize Operations Manager không phải là sản phẩm duy nhất bị ảnh hưởng bởi những lỗ hổng này. VMware Cloud Foundation (vROps) và vRealize Suite Lifecycle Manager (vROps) cũng bị ảnh hưởng.
VMware đã phát hành các bản vá cho tất cả các phiên bản sản phẩm bị ảnh hưởng và khuyến cáo người dùng sớm cập nhật bản vá để tránh trở thành mục tiêu của kẻ tấn công.
Hương Mai
13:00 | 13/08/2021
10:00 | 25/07/2021
14:00 | 27/09/2021
09:00 | 09/08/2022
09:00 | 05/07/2021
14:00 | 14/06/2023
10:00 | 20/09/2021
10:00 | 14/02/2025
TikTok tiếp tục khẳng định vị thế trên thị trường công nghệ với dự án đầu tư gần 3,8 tỷ USD cho trung tâm dữ liệu tại Thái Lan. Động thái này diễn ra trong bối cảnh hàng loạt "ông lớn" công nghệ toàn cầu cũng đang đổ xô vào xây dựng các dự án điện toán đám mây tại xứ sở chùa Vàng.
15:00 | 11/02/2025
Ngày 4/2, Cơ quan Quản lý Thị trường Nhà nước Trung Quốc cho biết sẽ tiến hành điều tra Google vì nghi ngờ vi phạm luật chống độc quyền. Động thái này diễn ra ngay sau khi Bắc Kinh công bố loạt thuế quan bổ sung đối với hàng hóa nhập khẩu từ Mỹ.
09:00 | 10/02/2025
Ngày 05/02, chính phủ Italy cho biết đã nhận được thông báo của WhatsApp về việc có 07 người dùng điện thoại di động trở thành mục tiêu của một phần mềm gián điệp qua dịch vụ tin nhắn này. Chính phủ Italy nhấn mạnh đây là sự cố đặc biệt nghiêm trọng.
22:00 | 30/01/2025
Mới đây, các chuyên gia đã cảnh báo về rủi ro người dùng bị tấn công điện thoại thông qua các số tài khoản ngân hàng. Có nhiều cách để lấy được số tài khoản và số điện thoại của nạn nhân như thông tin công khai trên các nền tảng kinh doanh trực tuyến hoặc mua trong gói dữ liệu trên chợ đen, diễn đàn dành cho tin tặc...
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Ngày 07/3/2025, Google đã công bố sẽ trao 11,8 triệu USD tiền thưởng cho 660 nhà nghiên cứu đã báo cáo lỗ hổng bảo mật thông qua các chương trình Bug Bounty của công ty vào năm 2024.
14:00 | 19/03/2025
