VMware vRealize Log Insight CSV注入漏洞

CVE编号

CVE-2021-22035

利用情况

暂无

补丁情况

官方补丁

披露时间

2021-10-14

漏洞描述

VMware vRealize Log Insight是美国威睿（Vmware）公司的一套集中式日志管理解决方案。该产品支持日志整理和日志分析等功能。 VMware vRealize Log Insight 8.0.0-8.6.0版本的交互分析导出功能存在CSV注入漏洞。远程攻击者可利用该漏洞向CSV文件中注入任意代码。受影响系统： VMWare vRealize Log Insight > 8.0.0 VMWare vRealize Log Insight < 8.6.0

解决建议

目前厂商已经发布了升级补丁以修复这个安全问题，补丁获取链接：
https://www.vmware.com/security/advisories/VMSA-2021-0022.html。

参考链接
https://www.vmware.com/security/advisories/VMSA-2021-0022.html

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	vmware	cloud_foundation	*	From (including) 4.0.0	Up to (including) 4.3.1
	运行在以下环境
	应用	vmware	vrealize_log_insight	*	From (excluding) 8.0.0	Up to (excluding) 8.60
	运行在以下环境
	应用	vmware	vrealize_suite_lifecycle_manager	*	From (including) 8.0.0	Up to (including) 8.2

攻击路径远程
攻击复杂度复杂
权限要求无需权限
影响范围有限影响
EXP成熟度未验证
补丁情况官方补丁
数据保密性数据泄露
数据完整性无影响
服务器危害无影响
全网数量 N/A

CWE-ID 漏洞类型 CWE-74 输出中的特殊元素转义处理不恰当（注入）

正文

VMware vRealize Log Insight CSV注入漏洞

漏洞描述

解决建议

参考链接

受影响软件情况

相关阅读

JasPer拒绝服务漏洞

Oracle MySQL Server up to 5.6.27/5.7.9 DML 拒绝服务漏洞

Oracle MySQL Server up to 5.5.31/5.6.11 Optimizer 拒绝服务漏洞

Oracle VM VirtualBox up to 4.3.36/5.0.14 拒绝服务漏洞

发表评论取消回复

还没有评论，来说两句吧...

目录[+]