5.6K
VMware Cloud Directorの欠陥により、ハッカーがリモートでコードを実行し、プライベートクラウドを制御できる.
VMware Cloud Directorは、主に仮想データセンターの管理に使用されるクラウドサービス配信プラットフォームです, 拡張, とクラウドの移行, クラウドサービスプロバイダーとグローバル企業向けに設計.
この欠陥は侵入テスト会社Citadeloによって4月に発見されました, CVE-2020-3956として追跡しました.
VMwareはCVSSV3の重大度スコアをそれに与えました 8.8 –脆弱性を「重要」として分類します – 入力を適切に処理できないと説明した.
シタデロによると, この欠陥により、コードが実行され、クラウドが乗っ取られる可能性があります, しかしVMwareは、攻撃者が認証されたアクセスのレベルを依然として必要とすることに注意して注意しました.
「認証されたアクターはVMware Cloud Directorに悪意のあるトラフィックを送信できる可能性があり、任意のリモートコード実行につながる可能性があります,” VMwareは言った.
“この脆弱性はHTML5を介して悪用される可能性があります- およびFlexベースのUI, API Explorerインターフェース, およびAPIアクセス。”
同社は5月中旬に顧客への勧告を押しました, ここでは、vまでのすべてのバージョンのVMware Cloud Directorについて説明しました 10.1.0 影響を受けた.
LinuxバインドのvCloud Director 8x – 10xおよびPhotonOSアプライアンスも脆弱でした.
