虚拟化巨头 VMware 于 6 月 9 日新发布了多个安全补丁，以解决 VMware Aria Operations for Networks 中的三个严重漏洞 —— 未经身份验证的攻击者可利用它来远程执行任意代码、访问敏感信息。
VMware Aria Operations for Networks 是一个网络可见性和分析工具，以前被称为 vRealize Network Insight（vRNI），它能够帮助管理员优化网络性能或管理扩展各种 VMware 和 Kubernetes 部署，以构建一个优化、高度可用且安全的网络基础设施。
VMware 修复的三个安全漏洞中最严重的是一个命令注入漏洞（CVE-2023-20887，CVSSv3 评分 9.8），能够被未经身份验证的攻击者在不需要用户交互的低复杂度攻击中利用。VMware 表示：“具有 VMware Aria Operations for Networks 网络访问权限的恶意行为者可能能够执行命令注入攻击，从而导致远程代码执行。” 
利用 VMware 修复的第二个漏洞（CVE-2023-20888，CVSSv3 评分 9.1），假如攻击者拥有对目标设备的网络访问权限以及有效 “成员” 角色凭据，就有可能进行成功的反序列化攻击，从而导致远程代码执行。
修复的最后一个漏洞是一个信息泄露漏洞（CVE-2023-20889，CVSSv3 评分 8.8），使恶意行为者可以在成功的命令注入攻击后访问敏感信息。
据 VMware 官网公告，影响 VMware Aria Operations Networks 版本 6.x 的三个漏洞已在以下版本中得到修复：6.2、6.3、6.4、6.5.1、6.6、6.7、6.8、6.9 和 6.10。由于没有缓解措施，强烈建议受影响的用户及时下载修复补丁以防止受到攻击。
详细操作步骤请参照 VMware 官网链接：https://kb.vmware.com/s/article/92684