Пропуск във VMware Cloud Director позволява на хакерите дистанционно да изпълняват код и да поемат контрола над частните облаци.
VMware Cloud Director е платформа за предоставяне на облачни услуги, използвана основно за управление на виртуален център за данни, разширение, и облачна миграция, предназначени за доставчици на облачни услуги и глобални предприятия.
Пропускът беше открит през април от фирмата за тестване на проникване Citadelo, който го проследи като CVE-2020-3956.
VMware му даде CVSSV3 рейтинг на тежест 8.8 – което класифицира уязвимостта като „важна“ – и го описа като неуспех за правилно обработване на входа.
Според Citadelo, недостатъкът може да доведе до изпълнение на код и превземане на облака, но VMware внимаваше да отбележи, че нападателят все още ще изисква ниво на удостоверен достъп.
„Удостоверен актьор може да е в състояние да изпраща злонамерен трафик към VMware Cloud Director, което може да доведе до произволно дистанционно изпълнение на код,” каза VMware.
“Тази уязвимост може да се използва чрез HTML5- и потребителски интерфейси, базирани на Flex, интерфейса на API Explorer, и API достъп.”
Компанията пусна съвет към клиентите си в средата на май, в който обяснява всички версии на VMware Cloud Director до v 10.1.0 бяха засегнати.
Обвързан с Linux vCloud Director 8x – 10Уредите x и PhotonOS също бяха уязвими.
