VMware 敦促客户修补外部研究人员在其 Aria Automation 多云基础设施自动化平台中发现的关键漏洞。
该漏洞的编号为CVE-2023-34063,CVSS 评分为 9.9,影响 8.16 之前版本的 Aria Automation(以前称为 vRealize Automation)以及 Cloud Foundation。
该缺陷被描述为缺少访问控制问题,可能允许经过身份验证的攻击者获得对远程组织和工作流程的未经授权的访问。
VMware已针对每个受影响的版本发布了补丁,并敦促客户尽快安装。不过,该公司指出,目前尚不清楚存在野外利用情况。
“用 ITIL 术语来说,这种情况属于紧急变更,需要您的组织立即采取行动。但是,适当的安全响应会根据具体情况而有所不同。咨询您组织的信息安全人员以确定适合您组织需求的最佳行动方案非常重要。”VMware 在一份常见问题解答文档中表示。
攻击者利用VMware 产品漏洞的情况并不罕见。美国安全机构 CISA 维护的已知被利用漏洞目录目前包括 21 个 VMware 漏洞,其中包括影响 Aria 产品的漏洞。
参考链接:https://www.securityweek.com/vmware-urges-customers-to-patch-critical-aria-automation-vulnerability/
