Uma falha no VMware Cloud Director permite que hackers executem código remotamente e assumam o controle de nuvens privadas.
VMware Cloud Director é uma plataforma de entrega de serviços em nuvem usada principalmente para gerenciamento de data centers virtuais, expansão, e migração para nuvem, projetado para provedores de serviços em nuvem e empresas globais.
A falha foi descoberta em abril pela empresa de testes de penetração Citadelo, que o rastreou como CVE-2020-3956.
A VMware atribuiu uma pontuação de gravidade CVSSV3 de 8.8 – que classifica a vulnerabilidade como “importante” – e descreveu isso como uma falha em lidar adequadamente com a entrada.
De acordo com Citadelo, a falha pode levar à execução de código e ao controle da nuvem, mas a VMware teve o cuidado de observar que o invasor ainda exigiria um nível de acesso autenticado.
“Um ator autenticado pode enviar tráfego malicioso ao VMware Cloud Director, o que pode levar à execução remota arbitrária de código,” disse VMware.
“Esta vulnerabilidade pode ser explorada através do HTML5- e UIs baseadas em Flex, a interface do API Explorer, e acesso à API.”
A empresa divulgou um comunicado aos seus clientes em meados de maio, no qual explicou todas as versões do VMware Cloud Director até v 10.1.0 foram afetados.
vCloud Director 8x vinculado ao Linux – 10Os dispositivos x e PhotonOS também eram vulneráveis.
