En feil i VMware Cloud Director lar hackere eksternt kjøre kode og ta kontroll over private skyer.
VMware Cloud Director er en skytjenesteleveringsplattform som hovedsakelig brukes til administrasjon av virtuelt datasenter, ekspansjon, og skymigrering, designet for skytjenesteleverandører og globale bedrifter.
Feilen ble oppdaget i april av penetrasjonstestingsfirmaet Citadelo, som sporet den som CVE-2020-3956.
VMware ga den en CVSSV3 alvorlighetsgrad på 8.8 – som klassifiserer sårbarheten som «viktig» – og beskrev det som en svikt i å håndtere innspill på riktig måte.
Ifølge Citadelo, feilen kan føre til kodekjøring og skyovertakelse, men VMware var nøye med å merke seg at angriperen fortsatt ville kreve et nivå av autentisert tilgang.
"En autentisert aktør kan være i stand til å sende ondsinnet trafikk til VMware Cloud Director som kan føre til vilkårlig ekstern kjøring av kode,” sa VMware.
“Denne sårbarheten kan utnyttes gjennom HTML5- og Flex-baserte brukergrensesnitt, API Explorer-grensesnittet, og API-tilgang.”
Selskapet presset en rådgivning til sine kunder i midten av mai, der den forklarte alle versjoner av VMware Cloud Director opp til v 10.1.0 ble berørt.
Linux-bundet vCloud Director 8x – 10x- og PhotonOS-apparater var også sårbare.
