VMware روز سهشنبه ۲۵ اکتبر ۲۰۲۲ بهروزرسانیهای امنیتی را برای رفع یک نقص امنیتی مهم در محصول VMware Cloud Foundation منتشر کرد.
این مشکل با نام CVE-2021-39144، امتیاز ۸/۹ از ۱۰ را در سیستم امتیازدهی آسیبپذیری CVSS کسب کرده است و به یک آسیبپذیری اجرای کد از راه دور از طریق کتابخانه منبع باز XStream مربوط میشود.
این شرکت در گزارشی گفت[۱]: «به دلیل یک نقطه پایانی تأیید نشده که از XStream برای serialization ورودی در VMware Cloud Foundation (NSX-V) استفاده میکند، یک عامل مخرب میتواند اجرای کد از راه دور را در زمینه «ریشه» روی دستگاه دریافت کند.
با توجه بهشدت نقص و نوار نسبتاً پایین آن برای بهرهبرداری، این ارائهدهنده خدمات مجازیسازی درPalo Alto همچنین یک وصله[۲] برای محصولات end-of-life در دسترس قرار داده است.
همچنین توسط VMware بهعنوان بخشی از بهروزرسانی، CVE-2022-31678 (امتیاز ۳/۵ در مقیاسCVSS)، یک آسیبپذیری XML External Entity (XXE) است[۳] که میتواند برای ایجاد وضعیت انکار سرویس (DoS) یا افشای اطلاعات غیرمجاز مورد بهرهبرداری قرار گیرد.
محققان امنیتی Sina Kheirkhah و Steven Seeley از Source Incite مسئول گزارش هر دو نقص هستند.
به کاربران VMware Cloud Foundation توصیه میشود برای کاهش تهدیدات احتمالی، وصلهها را اعمال کنند.
منابع
[۱] https://www.vmware.com/security/advisories/VMSA-2022-0027.html
[۲] https://kb.vmware.com/s/article/89809
[۳] https://owasp.org/www-community/vulnerabilities/XML_External_Entity_(XXE)_Processing
[۴] https://thehackernews.com/2022/10/vmware-releases-patch-for-critical-rce.html
ثبت ديدگاه