聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
这些漏洞如下:
CVE-2024-37079和CVE-2024-37080(CVSS评分9.8),它们是位于 DCE/RPC 协议实现中的多个堆缓冲区溢出漏洞,可导致对 vCenter Server 具有网络访问权限的恶意人员通过发送特殊构造的网络数据包,实现远程代码执行。
CVE-2024-37081(CVSS评分7.8):它们是位于VMware vCenter 中的多个本地提权漏洞,是由于sudo 配置不当造成的,可导致具有非管理员权限的认证本地用户获得 root 权限。
这并非 VMware 首次修复 DEC/RPC 协议实现中的漏洞。2023年10月,该厂商修复了另外一个可导致RCE的严重漏洞CVE-2024-34048(CVSS评分9.8)。CVE-2024-37079和CVE-2024-37080是由奇安信网神的研究员 Hao Zheng 和 Zibo Li 发现并报送的,CVE-2024-37081是由罗马尼亚德勤公司的 Matei “Mal” 发现并报送的。
这三个漏洞均影响 vCenter Server 版本7.0和8.0,它们已在 7.0 U3r、8.0 U1e 和 8.0 U2d 版本中修复。虽然目前尚未发现它们遭利用的报告,但鉴于这些漏洞的严重性,建议用户尽快更新至最新版本。
VMware 修复Workstation 和 Fusion 产品中的多个漏洞
https://thehackernews.com/2024/06/vmware-issues-patches-for-cloud.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~