פגם ב-VMware Cloud Director מאפשר להאקרים לבצע מרחוק קוד ולהשתלט על עננים פרטיים.
VMware Cloud Director היא פלטפורמת אספקת שירותי ענן המשמשת בעיקר לניהול מרכזי נתונים וירטואליים, הַרחָבָה, והגירת ענן, מיועד לספקי שירותי ענן וארגונים גלובליים.
הפגם התגלה באפריל על ידי חברת בדיקות החדירה Citadelo, שעקב אחריו כ-CVE-2020-3956.
VMware נתנה לו ציון חומרה CVSSV3 של 8.8 - שמסווג את הפגיעות כ"חשובה" – ותיאר זאת ככשל בטיפול נכון בקלט.
לפי Citadelo, הפגם עלול להוביל לביצוע קוד ולהשתלטות בענן, אך VMware הקפידה לציין שהתוקף עדיין ידרוש רמה של גישה מאומתת.
"שחקן מאומת עשוי לשלוח תעבורה זדונית ל-VMware Cloud Director מה שעלול להוביל לביצוע קוד מרחוק שרירותי,” אמר VMware.
“ניתן לנצל פגיעות זו באמצעות HTML5- וממשקי משתמש מבוססי Flex, ממשק API Explorer, וגישה ל-API.”
החברה דחפה ייעוץ ללקוחותיה באמצע מאי, שבו הוא הסביר את כל הגרסאות של VMware Cloud Director עד v 10.1.0 הושפעו.
vCloud Director 8x הקשור בלינוקס – 10מכשירי x ו- PhotonOS היו גם פגיעים.
