„VMware Cloud Director“ trūkumas leidžia įsilaužėliams nuotoliniu būdu vykdyti kodą ir valdyti privačius debesis.
„VMware Cloud Director“ yra debesies paslaugų teikimo platforma, pirmiausia naudojama virtualiam duomenų centrui valdyti, išplėtimas, ir debesų migracija, sukurta debesijos paslaugų teikėjams ir pasaulinėms įmonėms.
Trūką balandį aptiko skverbties testavimo įmonė „Citadelo“., kuris jį stebėjo kaip CVE-2020-3956.
VMware suteikė jam CVSSV3 sunkumo balą 8.8 – kuris pažeidžiamumą priskiria „svarbiam“ – ir apibūdino tai kaip netinkamą įvesties apdorojimą.
Anot „Citadelo“., trūkumas gali sukelti kodo vykdymą ir debesies perėmimą, tačiau „VMware“ atidžiai pastebėjo, kad užpuolikui vis tiek reikės autentifikuotos prieigos.
„Autentifikuotas veikėjas gali siųsti kenkėjišką srautą į VMware Cloud Director, dėl kurio gali būti vykdomas savavališkas nuotolinis kodas.,” sakė VMware.
“Šį pažeidžiamumą galima išnaudoti naudojant HTML5- ir „Flex“ pagrindu sukurtos vartotojo sąsajos, API Explorer sąsaja, ir API prieiga.”
Gegužės viduryje bendrovė savo klientams pateikė patarimą, kuriame paaiškintos visos VMware Cloud Director versijos iki v 10.1.0 buvo paveikti.
Su Linux susietas vCloud Director 8x – 10x ir PhotonOS įrenginiai taip pat buvo pažeidžiami.
