VMware Tanzu Application Service for VMs 和 Isolation Segment 信息泄漏漏洞(CVE-2023-20891)
CVE编号
CVE-2023-20891利用情况
暂无补丁情况
N/A披露时间
2022-11-01漏洞描述
VMware Tanzu Application Service for VMs(TAS for VMs)是一款基于 Cloud Foundry 平台构建的应用程序运行时平台,Isolation Segment 是一款为应用程序提供隔离性的软件。 受影响版本中由于在平台系统审计日志中记录了十六进制编码的凭据,有权访问平台系统审计日志的攻击者可从日志中获得 Cloud Foundry API 管理员凭据,进而可以推送新的恶意应用版本。解决建议
"升级VMware Tanzu Application Service for VMs到 2.11.42、2.13.24、3.0.14、4.0.5 或更高版本""升级Isolation Segment到 2.11.35、2.13.20、3.0.13、4.0.4 或更高版本""官方已发布补丁:https://www.vmware.com/security/advisories/VMSA-2023-0016.html"
参考链接 |
|
|---|---|
| https://www.vmware.com/security/advisories/VMSA-2023-0016.html |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | vmware | isolation_segment | * | From (including) 2.11.0 | Up to (excluding) 2.11.35 | ||||
| 运行在以下环境 | |||||||||
| 应用 | vmware | isolation_segment | * | From (including) 2.13.0 | Up to (excluding) 2.13.20 | ||||
| 运行在以下环境 | |||||||||
| 应用 | vmware | isolation_segment | * | From (including) 3.0.0 | Up to (excluding) 3.0.13 | ||||
| 运行在以下环境 | |||||||||
| 应用 | vmware | isolation_segment | * | From (including) 4.0.0 | Up to (excluding) 4.0.4 | ||||
| 运行在以下环境 | |||||||||
| 应用 | vmware | tanzu_application_service_for_virtual_machines | * | From (including) 2.11.0 | Up to (excluding) 2.11.42 | ||||
| 运行在以下环境 | |||||||||
| 应用 | vmware | tanzu_application_service_for_virtual_machines | * | From (including) 2.13.0 | Up to (excluding) 2.13.24 | ||||
| 运行在以下环境 | |||||||||
| 应用 | vmware | tanzu_application_service_for_virtual_machines | * | From (including) 3.0.0 | Up to (excluding) 3.0.14 | ||||
| 运行在以下环境 | |||||||||
| 应用 | vmware | tanzu_application_service_for_virtual_machines | * | From (including) 4.0.0 | Up to (excluding) 4.0.5 | ||||
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 低
- 影响范围 未更改
- 用户交互 无
- 可用性 无
- 保密性 高
- 完整性 无
| CWE-ID | 漏洞类型 |
| CWE-532 | 通过日志文件的信息暴露 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论