VMware发布安全漏洞的详细信息:VMware还修补了CVE-2021-21983

VMware已通过补丁修复数据中心安全软件中的身份验证绕过漏洞。该安全更新应尽快安装。

VMware Carbon Black Cloud Workload是Linux数据中心安全软件，旨在保护虚拟化环境中运行的工作负载。VMware现在修复了VMware Carbon Black Cloud工作负载设备中的一个严重漏洞，该漏洞可能使攻击者在利用易受攻击的服务器之后绕过身份验证。

相关阅读：vmware workstation 14 密钥及Pro注册

VMware vRealize中的两个漏洞

VMware还发布了有关VMware vRealize Operations中两个新披露的漏洞的安全公告VMSA-2021-0004。Tenable的安全专家Satnam Naran评论：

安全分析师发现了VMware vRealize Operations(vROP)中的多个漏洞。最严重的漏洞CVE-2021-21975是vROPs Manager API中的服务器端请求伪造(SSRF)漏洞。未经身份验证的远程攻击者可以通过将特制请求发送到易受攻击的vROPs Manager API端点来利用此漏洞。如果成功利用，则攻击者将获得管理凭据。

VMware还修补了CVE-2021-21983，这是vROPs Manager API中的任意文件写入漏洞，可用于将文件写入底层操作系统。此漏洞在身份验证之后发生，这意味着攻击者必须使用管理凭据进行身份验证才能利用此漏洞。

这些漏洞似乎没有像CVE-2021-21972一样严重，CVE-2021-21972是2月份修复的VMware vCenter Server中的远程执行代码漏洞。但是，如果攻击者将CVE-2021-21975和CVE-2021-21983链接在一起，他们还可以获得远程代码执行特权。

VMware在vROPs Manager 7.5.0到8.3.0版本中为这两个漏洞提供了补丁。还提供了一种临时解决方法，以防止攻击者利用这些漏洞。解决方法仅应用作临时权宜之计，直到组织能够安排补丁程序的应用程序为止。