2024年06月18日,VMware by BROADCOM发布补丁更新公告,奇安信天工实验室发现并协助VMware修复两个漏洞,再次获得VMware的认可和致谢。
本次发现的两个DCERPC组件漏洞CVE-2024-37079和CVE-2024-37080,CVSS评分为9.8分,攻击者可构造恶意请求,远程触发vCenter Server任意代码执行。
CVE-2024-37079CVE-2024-37080
VMware vCenter Server 堆溢出漏洞
CVSS 3.1: 9.8
该漏洞位于DCE/RPC协议,具有 vCenter Server 网络访问权限的远程攻击者通过发送特制的网络数据包在 DCERPC 协议实施过程中来触发堆溢出漏洞,从而导致远程代码执行。
该漏洞影响vCenter Server版本7.0和8.0,它们已在7.0 U3r、8.0 U1e和8.0 U2d版本中修复。
奇安信天工实验室,专注于漏洞攻防领域技术研究,面向互联网基础设施,以操作系统平台、基础软件应用、网络通信协议、关键网络设备为目标,研究漏洞挖掘、利用、检测等关键技术。漏洞研究成果连续在GeekPwn、天府杯等漏洞破解赛事中斩获奖项,漏洞挖掘方法发表于ACM CCS、Usenix、EuroS&P、BlackHat、HITB等国际重量级会议。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...