Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-01922

Опубликовано: 30 мар. 2021
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Критический

Описание

Уязвимость API-интерфейса инструмента мониторинга виртуальной инфраструктуры vRealize Operations связана с недостаточной проверкой запросов на стороне сервера. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации

Вендор

VMware Inc.

Наименование ПО

vRealize Operations Manager
VMware Cloud Foundation

Версия ПО

от 7.5.0 до 7.5.0-HF14 (vRealize Operations Manager)
от 8.0.1 до 8.0.1-HF7 (vRealize Operations Manager)
от 8.1.0 до 8.1.1-HF6 (vRealize Operations Manager)
от 8.2.0 до 8.2.0-HF4 (vRealize Operations Manager)
от 8.3.0 до 8.3.0-HF3 (vRealize Operations Manager)
до KB83260 (VMware Cloud Foundation)

Тип ПО

ПО виртуализации/ПО виртуального программно-аппаратного средства
Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://www.vmware.com/security/advisories/VMSA-2021-0004.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%
0.9439
Критический

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2021-21975

CVSS3: 7.5
nvd
почти 5 лет назад

Server Side Request Forgery in vRealize Operations Manager API (CVE-2021-21975) prior to 8.4 may allow a malicious actor with network access to the vRealize Operations Manager API can perform a Server Side Request Forgery attack to steal administrative credentials.

github логотип

GHSA-px27-325w-m34c

CVSS3: 7.5
github
больше 3 лет назад

Server Side Request Forgery in vRealize Operations Manager API (CVE-2021-21975) prior to 8.4 may allow a malicious actor with network access to the vRealize Operations Manager API can perform a Server Side Request Forgery attack to steal administrative credentials.

EPSS

Процентиль: 100%
0.9439
Критический

7.5 High

CVSS3

7.8 High

CVSS2