VMware 警告用户修复其 HCX 应用迁移平台中的远程代码执行漏洞 CVE-2024-38814(CVSS 评分 8.8)。该漏洞是 HCX 中一个经过身份验证的 SQL 注入漏洞,由 Summoning 团队的 Sina Kheirkhah (@SinSinology) 通过趋势科技零日计划 (ZDI) 私下报告给 VMware。拥有非管理员权限的已认证用户可以利用精心构造的 SQL 查询来利用此漏洞,并在 HCX 管理器上执行未经授权的远程代码。
VMware 发布的安全公告指出:“已向 VMware 私下报告了 HCX 中的已认证 SQL 注入漏洞。受影响的 VMware 产品已提供更新以修复此漏洞。”“拥有非管理员权限的恶意已认证用户可能能够输入精心构造的 SQL 查询,并在 HCX 管理器上执行未经授权的远程代码。” VMware HCX(混合云扩展)是一个工作负载迁移平台,旨在简化跨数据中心和云的工作负载迁移、再平衡和连续性。它使组织能够在本地环境和云基础设施之间无缝迁移应用程序和虚拟机,而无需停机。
漏洞 CVE-2024-38814 影响 HCX 平台的多个版本,包括 4.8.x、4.9.x 和 4.10.x 版本。该漏洞已在 4.8.3、4.9.2 和 4.10.1 版本中修复。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
![[周报]2024/11/14-2024/11/20 POC更新进度](https://zhousa.com/zb_users/theme/quietlee/style/noimg/2.jpg "[周报]2024/11/14-2024/11/20 POC更新进度")
还没有评论,来说两句吧...