漏洞情報 | VMware vRealize Operations Manager 多個安全漏洞

0x01 漏洞描述

VMware vRealize Operations是美國威睿（VMware）公司的一個應用程序，是一個面向私有云、混合云和多云環境的基于AI 的統一自動駕駛式IT運維管理平臺。

360漏洞云監測到VMware今天發布安全更新，修復了VMware vRealize Operations Manager中的多個安全漏洞。

• CVE-2021-22022
• 漏洞等級：中危（4.4）
• 漏洞類型：任意文件讀取
• 漏洞描述：具有vRealize Operations Manager API管理員訪問權限的惡意用戶可利用該漏洞讀取服務器上的任意文件，導致信息泄露。
• CVE-2021-22023
• 漏洞等級：中危（6.6）
• 漏洞類型：不安全的直接對象引用
• 漏洞描述：具有vRealize Operations Manager API管理員訪問權限的惡意用戶可利用該漏洞修改其他用戶的信息，導致賬戶接管。
• CVE-2021-22024
• 漏洞等級：高危（7.5）
• 漏洞類型：任意日志文件讀取
• 漏洞描述：未經認證的具有vRealize Operations Manager API網絡訪問權限的惡意用戶可利用該漏洞讀取任何日志文件，導致敏感信息泄露。
• CVE-2021-22025
• 漏洞等級：高危（8.6）
• 漏洞類型：失效的訪問控制
• 漏洞描述：未經認證的具有vRealize Operations Manager API網絡訪問權限的惡意用戶可利用該漏洞添加新的節點到vROps群集。
• CVE-2021-22026
• 漏洞等級：高危（7.5）
• 漏洞類型：服務端請求偽造
• 漏洞描述：未經認證的具有vRealize Operations Manager API網絡訪問權限的惡意用戶可利用該漏洞執行服務端請求偽造攻擊，導致信息泄露。
• CVE-2021-22027
• 漏洞等級：高危（7.5）
• 漏洞類型：服務端請求偽造
• 漏洞描述：未經認證的具有vRealize Operations Manager API網絡訪問權限的惡意用戶可利用該漏洞執行服務端請求偽造攻擊，導致信息泄露。

0x02 危害等級

高危

0x03 影響版本

VMware vRealize Operations Manager 8.4.0

VMware vRealize Operations Manager 8.3.0

VMware vRealize Operations Manager 8.2.0

VMware vRealize Operations Manager 8.1.1

VMware vRealize Operations Manager 8.1.0

VMware vRealize Operations Manager 8.0.1

VMware vRealize Operations Manager 8.0.0

VMware vRealize Operations Manager 7.5.0

0x04 修復建議

廠商已發布補丁修復漏洞，用戶請盡快安裝更新：

vRealize Operations 8.4 Security Patch for VMSA-2021-0018 (85383)

vRealize Operations 8.3 Security Patch for VMSA-2021-0018 (85382)

vRealize Operations 8.2 Security Patch for VMSA-2021-0018 (85381)

vRealize Operations 8.1.1 Security Patch for VMSA-2021-0018 (85380)

vRealize Operations 8.0.1 Security Patch for VMSA-2021-0018 (85379) 

vRealize Operations 7.5 Security Patch for VMSA-2021-0018 (85378)