Een fout in VMware Cloud Director stelt hackers in staat op afstand code uit te voeren en controle te krijgen over privéclouds.
VMware Cloud Director is een platform voor het leveren van cloudservices dat voornamelijk wordt gebruikt voor het beheer van virtuele datacenters, uitbreiding, en cloudmigratie, ontworpen voor cloudserviceproviders en internationale ondernemingen.
De fout werd in april ontdekt door penetratietestbedrijf Citadelo, die het volgde als CVE-2020-3956.
VMware gaf het een CVSSV3-ernstscore van 8.8 – die de kwetsbaarheid als “belangrijk” classificeert – en beschreef het als een onvermogen om de invoer op de juiste manier af te handelen.
Volgens Citadelo, de fout kan leiden tot uitvoering van code en overname van de cloud, maar VMware merkte zorgvuldig op dat de aanvaller nog steeds een niveau van geverifieerde toegang nodig zou hebben.
“Een geverifieerde actor kan kwaadaardig verkeer naar VMware Cloud Director sturen, wat kan leiden tot het uitvoeren van willekeurige externe code,” zei VMware.
“Deze kwetsbaarheid kan worden misbruikt via HTML5- en op Flex gebaseerde gebruikersinterfaces, de API Explorer-interface, en API-toegang.”
Het bedrijf stuurde medio mei een advies naar zijn klanten, waarin het alle versies van VMware Cloud Director tot v 10.1.0 waren beïnvloed.
Linux-gebonden vCloud Director 8x – 10x- en PhotonOS-apparaten waren ook kwetsbaar.
