VMware Cloud Directorin virhe antaa hakkereille mahdollisuuden suorittaa koodia etänä ja hallita yksityisiä pilviä.
VMware Cloud Director on pilvipalveluiden toimitusalusta, jota käytetään ensisijaisesti virtuaalisen datakeskuksen hallintaan, laajennus, ja pilvisiirto, suunniteltu pilvipalveluntarjoajille ja globaaleille yrityksille.
Vian havaitsi huhtikuussa läpäisytestausyritys Citadelo, joka seurasi sitä nimellä CVE-2020-3956.
VMware antoi sille CVSSV3-vakavuuspisteet 8.8 - joka luokittelee haavoittuvuuden "tärkeäksi" – ja kuvaili sitä epäonnistuneeksi käsitellä syötteitä oikein.
Citadelon mukaan, virhe voi johtaa koodin suorittamiseen ja pilven haltuunottoon, mutta VMware oli varovainen huomatakseen, että hyökkääjä tarvitsee silti tietyn tason todennettua käyttöoikeutta.
"Todennettu toimija saattaa pystyä lähettämään haitallista liikennettä VMware Cloud Directoriin, mikä voi johtaa mielivaltaiseen koodin etäsuorittamiseen,” sanoi VMware.
“Tätä haavoittuvuutta voidaan hyödyntää HTML5:n kautta- ja Flex-pohjaiset käyttöliittymät, API Explorer -käyttöliittymä, ja API-käyttö.”
Yhtiö esitti asiakkailleen neuvonnan toukokuun puolivälissä, jossa se selitti kaikki VMware Cloud Directorin versiot v 10.1.0 vaikuttivat.
Linuxiin sidottu vCloud Director 8x – 10x- ja PhotonOS-laitteet olivat myös haavoittuvia.
