漏洞情报 | VMware vRealize Operations Manager 多个安全漏洞

0x01 漏洞描述

VMware vRealize Operations是美国威睿（VMware）公司的一个应用程序，是一个面向私有云、混合云和多云环境的基于AI 的统一自动驾驶式IT运维管理平台。

360漏洞云监测到VMware今天发布安全更新，修复了VMware vRealize Operations Manager中的多个安全漏洞。

• CVE-2021-22022
• 漏洞等级：中危（4.4）
• 漏洞类型：任意文件读取
• 漏洞描述：具有vRealize Operations Manager API管理员访问权限的恶意用户可利用该漏洞读取服务器上的任意文件，导致信息泄露。
• CVE-2021-22023
• 漏洞等级：中危（6.6）
• 漏洞类型：不安全的直接对象引用
• 漏洞描述：具有vRealize Operations Manager API管理员访问权限的恶意用户可利用该漏洞修改其他用户的信息，导致账户接管。
• CVE-2021-22024
• 漏洞等级：高危（7.5）
• 漏洞类型：任意日志文件读取
• 漏洞描述：未经认证的具有vRealize Operations Manager API网络访问权限的恶意用户可利用该漏洞读取任何日志文件，导致敏感信息泄露。
• CVE-2021-22025
• 漏洞等级：高危（8.6）
• 漏洞类型：失效的访问控制
• 漏洞描述：未经认证的具有vRealize Operations Manager API网络访问权限的恶意用户可利用该漏洞添加新的节点到vROps群集。
• CVE-2021-22026
• 漏洞等级：高危（7.5）
• 漏洞类型：服务端请求伪造
• 漏洞描述：未经认证的具有vRealize Operations Manager API网络访问权限的恶意用户可利用该漏洞执行服务端请求伪造攻击，导致信息泄露。
• CVE-2021-22027
• 漏洞等级：高危（7.5）
• 漏洞类型：服务端请求伪造
• 漏洞描述：未经认证的具有vRealize Operations Manager API网络访问权限的恶意用户可利用该漏洞执行服务端请求伪造攻击，导致信息泄露。

0x02 危害等级

高危

0x03 影响版本

VMware vRealize Operations Manager 8.4.0

VMware vRealize Operations Manager 8.3.0

VMware vRealize Operations Manager 8.2.0

VMware vRealize Operations Manager 8.1.1

VMware vRealize Operations Manager 8.1.0

VMware vRealize Operations Manager 8.0.1

VMware vRealize Operations Manager 8.0.0

VMware vRealize Operations Manager 7.5.0

0x04 修复建议

厂商已发布补丁修复漏洞，用户请尽快安装更新：

vRealize Operations 8.4 Security Patch for VMSA-2021-0018 (85383)

vRealize Operations 8.3 Security Patch for VMSA-2021-0018 (85382)

vRealize Operations 8.2 Security Patch for VMSA-2021-0018 (85381)

vRealize Operations 8.1.1 Security Patch for VMSA-2021-0018 (85380)

vRealize Operations 8.0.1 Security Patch for VMSA-2021-0018 (85379) 

vRealize Operations 7.5 Security Patch for VMSA-2021-0018 (85378)