Недостаток в VMware Cloud Director позволяет хакерам удаленно выполнять код и контролировать частные облака..
VMware Cloud Director - это платформа для предоставления облачных услуг, используемая в основном для управления виртуальным центром обработки данных., расширение, и облачная миграция, разработан для поставщиков облачных услуг и глобальных предприятий.
Дефект был обнаружен в апреле фирмой Citadelo, занимающейся тестированием на проникновение., который отслеживал его как CVE-2020-3956.
VMware присвоила ему оценку серьезности CVSSV3 на уровне 8.8 - что классифицирует уязвимость как «важную». – и описал это как неспособность правильно обрабатывать ввод.
Согласно Citadelo, недостаток может привести к выполнению кода и захвату облака, но VMware осторожно отметила, что злоумышленнику по-прежнему потребуется уровень аутентифицированного доступа..
«Аутентифицированный субъект может отправлять вредоносный трафик в VMware Cloud Director, что может привести к произвольному удаленному выполнению кода.,” сказал VMware.
“Этой уязвимостью можно воспользоваться через HTML5.- и пользовательские интерфейсы на основе Flex, интерфейс API Explorer, и доступ к API.”
Компания отправила своим клиентам рекомендации в середине мая., в котором объяснялись все версии VMware Cloud Director до v. 10.1.0 были затронуты.
Связанный с Linux vCloud Director 8x – 10x и PhotonOS также были уязвимы..
