网易首页 > 网易号 > 正文 申请入驻

VMware 修复 Cloud Foundation 中的凭证泄露漏洞

0
分享至

Broadcom 修复了 VMware Cloud Foundation 中 IT 运维和日志管理工具的五个高危漏洞,其中包括两个在特定条件下可能导致凭证泄露的信息泄露漏洞。

所有漏洞都已提供修复补丁。Broadcom 的安全公告指出,目前尚未发现这些漏洞被实际利用的情况。

值得注意的是,利用这些漏洞需要获得对易受攻击部署的授权访问权限,因此如果这些漏洞在实际环境中被成功利用,很可能是通过被入侵或恶意账户实现的。

这些 CVE 漏洞影响了用于跨环境管理 IT 运维的 Aria Operations,以及用于存储和分析日志数据的 Aria Operations for Logs。两者都是 VMware Cloud Foundation 的组件,这意味着这些漏洞也影响了该混合云平台的 4.x 和 5.x 版本。

具体而言:四个漏洞 (CVE-2025-22218、CVE-2025-22219、CVE-2025-22220 和 CVE-2025-22221) 影响 VMware Aria Operations for Logs 8.0 及更新版本,一个漏洞 (CVE-2025-22222) 影响相同版本的 VMware Aria Operations。将两个产品更新到 v8.18.3 版本可以修复这些问题。VMware Cloud Foundation 用户可以按照 KB92148 来应用必要的修复。

其中最严重的是 CVE-2025-22218,这是一个严重等级为 8.5 的信息泄露漏洞,存在于 VMware Aria Operations for Logs 中。安全警告称:"具有只读管理员权限的恶意行为者可能能够读取与 VMware Aria Operations for Logs 集成的 VMware 产品的凭证。"

影响 VMware Aria Operations 的单个漏洞 CVE-2025-22222 也是一个信息泄露漏洞,其 CVSS 严重等级为 7.7。只要拥有(或窃取)有效的服务凭证 ID,非管理员权限用户就可以利用此漏洞窃取外部插件的凭证。

在 VMware Aria Operations for Logs 中修复的漏洞还包括两个存储型跨站脚本 (XSS) 漏洞:CVE-2025-22219 和 CVE-2025-22221,CVSS 评分分别为 6.8 和 5.2。

这两个漏洞都可以被用来向应用程序注入恶意脚本,然后在受害者的浏览器中执行。利用 CVE-2025-22219 不需要管理员权限,可能导致以管理员级别用户身份执行任意操作。

而利用 CVE-2025-22221 需要管理员权限。但如果攻击者拥有此权限,他们可以注入恶意脚本,在受害者执行代理配置的删除操作时在其浏览器中执行。

最后是一个 CVSS 评分为 4.3 的权限提升漏洞,编号为 CVE-2025-22220。该漏洞允许具有 Aria Operations for Logs API 网络访问权限的用户执行某些本应需要管理员权限的操作。

Broadcom 感谢来自米其林 CERT 的 Maxime Escourbiac,以及来自 Abicom 的 Yassine Bengana 和 Quentin Ebel 发现并披露了这五个漏洞。

由于 VMware 虚拟化软件在大型企业和政府机构中的普遍使用,无论是国家级黑客还是以金钱为动机的犯罪分子都热衷于利用 VMware 漏洞。鉴于其作为主要攻击目标的历史,即使这些漏洞的利用条件相对严格,也建议将这些补丁放在近期待办事项列表中。

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐
1975年周恩来急召吴桂贤回北京:有个大任务,让你当国务院副总理

1975年周恩来急召吴桂贤回北京:有个大任务,让你当国务院副总理

历史龙元阁
2026-07-01 10:55:07
陈建斌有个毛病改不掉,那就是见前任吴越当是一个没事人一样

陈建斌有个毛病改不掉,那就是见前任吴越当是一个没事人一样

手工制作阿歼
2026-07-01 08:48:48
樊振东正式加盟德甲杜塞尔多夫俱乐部,首组红色战袍定妆照发布

樊振东正式加盟德甲杜塞尔多夫俱乐部,首组红色战袍定妆照发布

极目新闻
2026-07-01 20:02:22
那句“我爱你对不起”,是放下前的最后一次拥抱

那句“我爱你对不起”,是放下前的最后一次拥抱

心事寄山海
2026-07-01 00:26:01
场均15+4+5+3+2!杜兰特迎来强力帮手,硬刚马刺雷霆有戏了

场均15+4+5+3+2!杜兰特迎来强力帮手,硬刚马刺雷霆有戏了

篮球大视野
2026-07-01 23:09:24
不再忍让!菲军机闯黄岩岛,被霹雳10顶住脑门,歼16不再克制

不再忍让!菲军机闯黄岩岛,被霹雳10顶住脑门,歼16不再克制

浮光惊掠影
2026-07-02 00:36:14
固态电池神话彻底破灭,中科院曾连发"王炸",电池行业迎来变局

固态电池神话彻底破灭,中科院曾连发"王炸",电池行业迎来变局

黑翼天使
2026-06-24 13:56:28
英格兰噩梦开局!民主刚果7分钟闪击,轰淘汰赛处子球,空翻庆祝

英格兰噩梦开局!民主刚果7分钟闪击,轰淘汰赛处子球,空翻庆祝

奥拜尔
2026-07-02 00:17:31
真生意人!詹姆斯晚宣布一天离队!轻松净赚百万美元!

真生意人!詹姆斯晚宣布一天离队!轻松净赚百万美元!

篮球大图
2026-07-02 01:29:48
大满贯爆大冷!女乒第2位大种子惨败,伊藤美诚轰11-2,蒯曼丢局

大满贯爆大冷!女乒第2位大种子惨败,伊藤美诚轰11-2,蒯曼丢局

桃叶渡春
2026-07-02 00:17:03
极兔速递与宁德时代达成战略合作

极兔速递与宁德时代达成战略合作

IT之家
2026-07-01 20:02:22
KTV里那些女孩,最后都嫁谁了?老经理一番话,听的让人心酸

KTV里那些女孩,最后都嫁谁了?老经理一番话,听的让人心酸

千秋文化
2026-06-28 20:09:25
是好是坏,李嘉诚突然杀回楼市!手持400亿现金,这次他要抄底了

是好是坏,李嘉诚突然杀回楼市!手持400亿现金,这次他要抄底了

西楼知趣杂谈
2026-07-01 10:25:18
王朔:我的财产要留给徐静蕾,在离婚后,只有她愿意给我房子住

王朔:我的财产要留给徐静蕾,在离婚后,只有她愿意给我房子住

胡一舸南游y
2026-07-01 17:46:24
比亚迪CEO警告:新款电机一旦投放市场,汽车行业恐迎全面洗牌

比亚迪CEO警告:新款电机一旦投放市场,汽车行业恐迎全面洗牌

刘哥谈体育
2026-06-30 17:46:42
湖人为卢卡配了凯斯勒——然后?

湖人为卢卡配了凯斯勒——然后?

张佳玮写字的地方
2026-07-02 04:20:30
美财长24小时内访华发火,中国重大举措引发美方强烈不满

美财长24小时内访华发火,中国重大举措引发美方强烈不满

照亮你的前行之路
2026-07-01 20:28:28
拯救三狮!英格兰众名宿膜拜凯恩:致命一击 拿不到金球会很惊讶

拯救三狮!英格兰众名宿膜拜凯恩:致命一击 拿不到金球会很惊讶

狍子歪解体坛
2026-07-02 02:15:54
比芯片更稀缺!2026四大隐形材料黑马,彻底碾压六氟化钨

比芯片更稀缺!2026四大隐形材料黑马,彻底碾压六氟化钨

林子说事
2026-07-01 13:58:19
曝韩红退出公益行业仅1天,再迎2大"噩耗",荒唐的一幕发生

曝韩红退出公益行业仅1天,再迎2大"噩耗",荒唐的一幕发生

不似少年游
2026-07-01 14:54:59
2026-07-02 06:43:00
至顶科技 incentive-icons
至顶科技
科技产业媒体与 AI 产业服务机构
19781文章数 49712关注度
往期回顾 全部

科技要闻

Claude Code被曝“植入木马”识别中国用户

头条要闻

凯恩梅开二度 英格兰2-1逆转民主刚果将战墨西哥

头条要闻

凯恩梅开二度 英格兰2-1逆转民主刚果将战墨西哥

体育要闻

卖球衣救子的门将,把德国扑出了世界杯

娱乐要闻

77岁牛群公证裸捐全部财产,清贫独居坚持月捐

财经要闻

新氧贷款:宣传年化15%,实际顶格24%

汽车要闻

同比暴涨188.4% 方程豹6月热销35607台

态度原创

教育
亲子
家居
本地
艺术

教育要闻

四年级简便计算,33333×33333,难度不小

亲子要闻

兰姐出差回北京,先去看小裙子!和小宝宝戴同款墨镜超开心!

家居要闻

传奇筑 日常诗

本地新闻

强烈建议,全国高校都向这所大学看齐!

艺术要闻

宋朝:生活品味,比权力和财富更重要!

无障碍浏览 进入关怀版