Недостаток в VMware Cloud Director позволяет хакерам удаленно выполнять код и контролировать частные облака..
VMware Cloud Director - это платформа для предоставления облачных услуг, используемая в основном для управления виртуальным центром обработки данных., расширение, и облачная миграция, разработан для поставщиков облачных услуг и глобальных предприятий.
Дефект был обнаружен в апреле фирмой Citadelo, занимающейся тестированием на проникновение., который отслеживал его как CVE-2020-3956.
VMware присвоила ему оценку серьезности CVSSV3 на уровне 8.8 – which classifies the vulnerability as “important” – и описал это как неспособность правильно обрабатывать ввод.
Согласно Citadelo, недостаток может привести к выполнению кода и захвату облака, но VMware осторожно отметила, что злоумышленнику по-прежнему потребуется уровень аутентифицированного доступа..
“An authenticated actor may be able to send malicious traffic to VMware Cloud Director which may lead to arbitrary remote code execution,” сказал VMware.
“Этой уязвимостью можно воспользоваться через HTML5.- и пользовательские интерфейсы на основе Flex, интерфейс API Explorer, и доступ к API.”
Компания отправила своим клиентам рекомендации в середине мая., в котором объяснялись все версии VMware Cloud Director до v. 10.1.0 были затронуты.
Связанный с Linux vCloud Director 8x – 10x и PhotonOS также были уязвимы..
