| 風險等級: |
高度威脅 |
| 摘 要: |
弱點通告:博通修補VMware Aria Operations三項漏洞,建議請管理者儘速評估更新! |
| 影響系統: |
VMware Aria Operation 8.18.6 之前版本VMware Cloud Foundation Operations 9.0.2.0 之前版本VMware Cloud Foundation 5.x 版本VMware Cloud Foundation 4.x 版本VMware Telco Cloud Platform 5.x 版本VMware Telco Cloud Platform 4.x 版本VMware Telco Cloud Infrastructure 3.x 版本VMware Telco Cloud Infrastructure 2.x 版本 |
| 解決辦法: |
建議請管理者評估更新到最新版本 :
(1) VMware Aria Operation 8.x 版本,請更新至8.18.6版本
(2) VMware Cloud Foundation Operations 9.x版本,請更新至9.0.2.0版本
(3) VMware Cloud Foundation 5.x, 4.x 版本請參考原廠 KB92148 文件進行更新
(4) VMware Telco Cloud Platform 5.x, 4.x 版本請參考原廠 KB428241文件進行更新
(5) VMware Telco Cloud Infrastructure 3.x, 2.x 版本請參考原廠 KB428241文件進行更新
|
| 細節描述: |
博通發布VMware Aria Operations安全更新,修補3項資安漏洞。其中CVE-2026-22719屬高風險命令注入弱點,未經驗證的攻擊者可能藉此注入惡意指令,進而在目標系統上執行任意程式碼。
CVE-2026-22719 :CVSS 8.1
該漏洞屬命令注入(Command Injection)弱點,出現在Aria Operations的支援協助產品遷移(support-assisted product migration)流程中。博通說明,在特定攻擊條件成立時,未經驗證的攻擊者可能注入惡意指令,進而在目標系統上執行任意程式碼。實際影響程度仍取決於部署架構與權限設定情境。
CVE-2026-22720 : CVSS 8.0
該漏洞為儲存型跨站指令碼(Stored Cross-site Scripting漏洞,該漏洞存在於自訂評估標準(custom benchmark)功能中。具備合法帳號權限的使用者,可在建立相關設定時植入惡意指令碼。當其他管理者瀏覽或操作相關頁面時,可能觸發惡意指令碼,導致管理介面遭操控或執行未授權管理動作。
CVE-2026-22721 : CVSS 6.2分
該漏洞為權限提升(Privilege Escalation)漏洞,博通指出,若攻擊者已透過vCenter取得對Aria Operations的低階存取權限,可能利用此漏洞進一步提升為管理員等級權限。該漏洞本身並非用於初始入侵的弱點,但在既有入侵情境下,可能成為擴大控制範圍的輔助工具。
HiNet SOC 建議管理者儘速評估更新,以降低受駭風險。
https://hisecure.hinet.net/secureinfo/hotnews.php |
| 參考資訊: |
iThome
Broadcom
|
| |
