该简化的集中式数据中心运维管理工具用于管理混合云网络的运维。
7月20日,相关方发布安全更新,修复了混合云运维管理解决方案中发现的执行任意命令漏洞。以下为漏洞要点:
漏洞要点
1.CVE-2022-20857 CVSS评分: 9.8 严重程度: 严重
未经过身份验证的远程攻击者可能通过对受影响 API 的访问,向设备上的特定 API 发送精心构造的请求,从而在节点上的任意 pod 中执行任意命令,获得对设备的高权限控制。
该漏洞源于对特定 API 的访问控制不足。攻击者可以利用该问题,通过发送经过设计的 HTTP 请求来利用漏洞,成功利用后可在目标节点的任意 pod 中以 Root 用户执行任意命令。
2.CVE-2022-20861 CVSS评分: 8.8 严重程度: 高
管理网络中的 Web UI 漏洞可能允许未经身份验证的远程攻击者对受影响设备执行跨站点请求伪造(CSRF)攻击。
原因在于受影响设备的 Web UI CSRF 保护不足。攻击者可以诱使经过身份验证的管理员点击恶意链接来利用该漏洞,进而在设备上执行具有管理员权限的操作。
3.CVE-2022-20858 CVSS评分: 8.2 严重程度: 高
此漏洞可能允许未经身份验证的远程攻击者访问管理网络中运行的服务及受影响设备的数据。
原因在于管理容器映像所涉服务的访问控制不足。攻击者可通过建立与受影响服务的 TCP 连接来利用漏洞,成功利用后可下载容器镜像或将恶意镜像上传至设备,恶意镜像将在设备重新启动后运行。
受影响版本
2.2 及更早版本
解决方案
升级至 2.2(1e) 即可修复该问题。
