一、 漏洞公告

近日，监测到VMware官方发布安全公告，修复了多个VMware vRealize Log Insight高危漏洞，其中包括目录穿越漏洞(CVE-2022-31706)、访问控制不当漏洞(CVE-2022-31704)、反序列化漏洞(CVE-2022-31710)和信息泄露漏洞(CVE-2022-31711)目前官方已发布安全版本，建议受影响的用户尽快采取安全措施。

参考链接：https://www.vmware.com/security/advisories/VMSA-2023-0001.html

VMware历史安全漏洞公告参考：https://www.vmware.com/security/advisories.html

二、影响范围

受影响版本：

VMware vRealize Log Insight 8.x < 8.10.2

VMware Cloud Foundation (VMware vRealize Log Insight) 4.x 

VMware Cloud Foundation (VMware vRealize Log Insight) 3.x

安全版本：

VMware vRealize Log Insight >= 8.10.2

三、漏洞描述

VMware vRealize Log Insight 是一个日志分析管理工具。利用基于机器学习的智能分组和高性能搜索功能,可跨物理环境、虚拟环境和云环境管理海量数据、了解运维情况并加快故障排除。

VMware vRealize Log Insight目录穿越漏洞(CVE-2022-31706)：VMware vRealize Log Insight存在一个目录穿越漏洞，未经身份验证的恶意行为者可以将文件注入受影响设备的操作系统，从而导致远程代码执行。

VMware vRealize Log Insight访问控制不当漏洞(CVE-2022-31704)：VMware vRealize Log Insight存在一个失效的访问控制漏洞，未经身份验证的恶意行为者可以将文件注入受影响设备的操作系统，从而导致远程代码执行。

VMware vRealize Log Insight反序列化漏洞(CVE-2022-31710)：VMware vRealize Log Insight存在一个反序列化漏洞，未经身份验证的恶意行为者可以远程触发不可信数据的反序列化，可能导致系统拒绝服务。

VMware vRealize Log Insight信息泄露漏洞(CVE-2022-31711)：VMware vRealize Log Insight存在一个信息泄露漏洞，未经身份验证的恶意行为者可以远程收集敏感会话和应用程序信息。

四、缓解措施

高危：目前漏洞细节和利用代码暂未公开，但可以通过补丁对比方式定位漏洞触发点，建议部署相关产品的用户及时测试并升级到漏洞修复的版本。

处置建议：

1、目前官方已发布安全版本修复上述漏洞，建议受影响的用户升级VMware vRealize Log Insight至安全版本。

下载链接：https://customerconnect.vmware.com/downloads/details?downloadGroup=VRLI-8102&productId=1351

升级文档：https://docs.vmware.com/en/vRealize-Log-Insight/8.10.2/rn/vrealize-log-insight-8102-release-notes/index.html

来源：VMware官方