Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-00395

Опубликовано: 24 янв. 2023
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Высокий

Описание

Уязвимость средства управления журналами vRealize Log Insight и платформы виртуализации VMware Cloud Foundation связана с ошибками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

VMware Inc.

Наименование ПО

vRealize Log Insight
VMware Cloud Foundation

Версия ПО

от 8.0 до 8.10.2 (vRealize Log Insight)
до KB90668 (VMware Cloud Foundation)

Тип ПО

ПО виртуализации/ПО виртуального программно-аппаратного средства
Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
1. Загрузить файл KB90635.zip (https://customerconnect.vmware.com/en/downloads/details?downloadGroup=VRLI-8102&productId=1034&rPId=100036).
2. Войти в узел vRealize Log Insight под root пользователем через SSH (используя Putty.exe или любой аналогичный SSH-клиент).
3. Загрузить скрипт KB90635.sh в папку /opt/vmware/bin/ с помощью WinSCP или аналогичной утилиты.
4. Изменить права доступа к файлу и сделать его исполняемым, выполнив приведенные ниже команды:
chmod +x /opt/vmware/bin/KB90635.sh
chmod 755 /opt/vmware/bin/KB90635.sh
5. Выполните скрипт, передав аргумент «setup»:
/opt/vmware/bin/KB90635.sh setup
6. Процедуру повторить для всех узлов кластера.
Использование рекомендаций производителя:
https://www.vmware.com/security/advisories/VMSA-2023-0001.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%
0.8915
Высокий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2022-31704

CVSS3: 9.8
nvd
около 3 лет назад

The vRealize Log Insight contains a broken access control vulnerability. An unauthenticated malicious actor can remotely inject code into sensitive files of an impacted appliance which can result in remote code execution.

github логотип

GHSA-x63f-7pqq-c59r

CVSS3: 9.8
github
около 3 лет назад

The vRealize Log Insight contains a broken access control vulnerability. An unauthenticated malicious actor can remotely inject code into sensitive files of an impacted appliance which can result in remote code execution.

EPSS

Процентиль: 100%
0.8915
Высокий

9.8 Critical

CVSS3

10 Critical

CVSS2