该产品是一款虚拟化基础设施管理软件。4月20日,厂商发布安全更新,修复了因身份验证绕过导致的高危漏洞。
漏洞详情
CVE-2022-20732 CVSS 7.8 严重程度:高
配置文件保护存在漏洞,经过身份验证的本地攻击者可能访问敏感信息并提升设备权限。
问题的原因在于部分配置文件的访问权限设置不当。具备低权限凭据的攻击者若能够访问受影响设备并读取相关配置文件,可能获取内部数据库凭据,从而查看和修改数据库内容,并借此提升设备权限。
受影响的产品
3.6 及更早版本的管理器
4.0.0 版本的管理器
解决方案
升级至 4.2.2 版本即可修复该问题。
更多信息与升级请访问官方网站。
[[[IMG_1]]]
