VMware vRealize Log Insight 目录遍历漏洞
通告预警
1. 漏洞概述
监测到VMware vRealize Log Insight 目录遍历漏洞威胁等级:高危,漏洞编号:CVE-2022-31706。
2. 漏洞详情
VMware vRealize Log Insight是美国威睿(VMware)公司的一套日志管理和分析工具。该工具支持跨物理、虚拟和云计算环境执行基于机器学习的智能分组、搜索和故障排除,从而为VMware虚拟机提供实时日志管理功能。
2023年1月24日, VMware发布安全公告,修复了一个存在于 VMware vRealize Log Insight 中的目录遍历漏洞。漏洞编号: CVE-2022-31706,漏洞威胁等级:严重,漏洞评分:9.8。
该漏洞是由于未经身份验证的恶意参与者可以将文件注入受影响设备的操作系统,从而导致远程代码执行。
3. 影响版本
8.0<=VMware vRealize Log Insight<8.10.2
4. 处置建议
1. 目前厂商已发布新版本和补丁修复漏洞,用户请尽快更新至 8.10.2 以上版本。
下载链接: https://docs.vmware.com/en/vRealize-Log-Insight/8.10.2/rn/vrealize-log-insight-8102-release-notes/index.html
2. 若无法立即升级至安全版本,可参考以下链接中的步骤缓解此漏洞:https://kb.vmware.com/s/article/90635。