Broadcom 修复了 VMware Cloud Foundation 中 IT 运维和日志管理工具的五个高危漏洞,其中包括两个在特定条件下可能导致凭证泄露的信息泄露漏洞。
所有漏洞都已提供修复补丁。Broadcom 的安全公告指出,目前尚未发现这些漏洞被实际利用的情况。
值得注意的是,利用这些漏洞需要获得对易受攻击部署的授权访问权限,因此如果这些漏洞在实际环境中被成功利用,很可能是通过被入侵或恶意账户实现的。
这些 CVE 漏洞影响了用于跨环境管理 IT 运维的 Aria Operations,以及用于存储和分析日志数据的 Aria Operations for Logs。两者都是 VMware Cloud Foundation 的组件,这意味着这些漏洞也影响了该混合云平台的 4.x 和 5.x 版本。
具体而言:四个漏洞 (CVE-2025-22218、CVE-2025-22219、CVE-2025-22220 和 CVE-2025-22221) 影响 VMware Aria Operations for Logs 8.0 及更新版本,一个漏洞 (CVE-2025-22222) 影响相同版本的 VMware Aria Operations。将两个产品更新到 v8.18.3 版本可以修复这些问题。VMware Cloud Foundation 用户可以按照 KB92148 来应用必要的修复。
其中最严重的是 CVE-2025-22218,这是一个严重等级为 8.5 的信息泄露漏洞,存在于 VMware Aria Operations for Logs 中。安全警告称:"具有只读管理员权限的恶意行为者可能能够读取与 VMware Aria Operations for Logs 集成的 VMware 产品的凭证。"
影响 VMware Aria Operations 的单个漏洞 CVE-2025-22222 也是一个信息泄露漏洞,其 CVSS 严重等级为 7.7。只要拥有(或窃取)有效的服务凭证 ID,非管理员权限用户就可以利用此漏洞窃取外部插件的凭证。
在 VMware Aria Operations for Logs 中修复的漏洞还包括两个存储型跨站脚本 (XSS) 漏洞:CVE-2025-22219 和 CVE-2025-22221,CVSS 评分分别为 6.8 和 5.2。
这两个漏洞都可以被用来向应用程序注入恶意脚本,然后在受害者的浏览器中执行。利用 CVE-2025-22219 不需要管理员权限,可能导致以管理员级别用户身份执行任意操作。
而利用 CVE-2025-22221 需要管理员权限。但如果攻击者拥有此权限,他们可以注入恶意脚本,在受害者执行代理配置的删除操作时在其浏览器中执行。
最后是一个 CVSS 评分为 4.3 的权限提升漏洞,编号为 CVE-2025-22220。该漏洞允许具有 Aria Operations for Logs API 网络访问权限的用户执行某些本应需要管理员权限的操作。
Broadcom 感谢来自米其林 CERT 的 Maxime Escourbiac,以及来自 Abicom 的 Yassine Bengana 和 Quentin Ebel 发现并披露了这五个漏洞。
由于 VMware 虚拟化软件在大型企业和政府机构中的普遍使用,无论是国家级黑客还是以金钱为动机的犯罪分子都热衷于利用 VMware 漏洞。鉴于其作为主要攻击目标的历史,即使这些漏洞的利用条件相对严格,也建议将这些补丁放在近期待办事项列表中。
好文章,需要你的鼓励
最新数据显示,Windows 11市场份额已达50.24%,首次超越Windows 10的46.84%。这一转变主要源于Windows 10即将于2025年10月14日结束支持,企业用户加速迁移。一年前Windows 10份额还高达66.04%,而Windows 11仅为29.75%。企业多采用分批迁移策略,部分选择付费延长支持或转向Windows 365。硬件销售受限,AI PC等高端产品销量平平,市场份额提升更多来自系统升级而非新设备采购。
清华大学团队开发出LangScene-X系统,仅需两张照片就能重建完整的3D语言场景。该系统通过TriMap视频扩散模型生成RGB图像、法线图和语义图,配合语言量化压缩器实现高效特征处理,最终构建可进行自然语言查询的三维空间。实验显示其准确率比现有方法提高10-30%,为VR/AR、机器人导航、智能搜索等应用提供了新的技术路径。
新一代液态基础模型突破传统变换器架构,能耗降低10-20倍,可直接在手机等边缘设备运行。该技术基于线虫大脑结构开发,支持离线运行,无需云服务和数据中心基础设施。在性能基准测试中已超越同等规模的Meta Llama和微软Phi模型,为企业级应用和边缘计算提供低成本、高性能解决方案,在隐私保护、安全性和低延迟方面具有显著优势。
IntelliGen AI推出IntFold可控蛋白质结构预测模型,不仅达到AlphaFold 3同等精度,更具备独特的"可控性"特征。该系统能根据需求定制预测特定蛋白质状态,在药物结合亲和力预测等关键应用中表现突出。通过模块化适配器设计,IntFold可高效适应不同任务而无需重新训练,为精准医学和药物发现开辟了新路径。