Napaka v VMware Cloud Director hekerjem omogoča oddaljeno izvajanje kode in prevzem nadzora nad zasebnimi oblaki.
VMware Cloud Director je platforma za dostavo storitev v oblaku, ki se uporablja predvsem za upravljanje virtualnega podatkovnega centra, širitev, in selitev v oblak, zasnovan za ponudnike storitev v oblaku in globalna podjetja.
Napako je aprila odkrilo podjetje za testiranje penetracije Citadelo, ki ga je spremljal kot CVE-2020-3956.
VMware mu je dal oceno resnosti CVSSV3 8.8 – ki razvrsti ranljivost kot "pomembno" – in to opisal kot nepravilno obravnavanje vnosa.
Po poročanju Citadelo, napaka bi lahko vodila do izvajanja kode in prevzema oblaka, vendar je VMware pazil, da bi napadalec še vedno zahteval raven avtentificiranega dostopa.
»Akter s preverjeno pristnostjo lahko pošlje zlonamerni promet v VMware Cloud Director, kar lahko privede do poljubnega oddaljenega izvajanja kode,” je dejal VMware.
“To ranljivost je mogoče izkoristiti prek HTML5- in uporabniški vmesniki, ki temeljijo na Flexu, vmesnik API Explorer, in API dostop.”
Podjetje je sredi maja poslalo svetovanje svojim strankam, v katerem je pojasnil vse različice VMware Cloud Director do v 10.1.0 so bili prizadeti.
VCloud Director 8x, vezan na Linux – 10Ranljive so bile tudi naprave x in PhotonOS.
