VMware已解决了一个严重漏洞,该漏洞被称为CVE-2020-3956,该漏洞会影响其Cloud Director产品。
VMware已在其Cloud Director产品中修复了一个严重性很高的远程代码执行漏洞,该漏洞被称为CVE-2020-3956。
该漏洞是代码注入问题,经过身份验证的攻击者可能会利用该漏洞将恶意流量发送到Cloud Director,这可能允许执行任意代码。
“ VMware Cloud Director中的代码注入漏洞已秘密报告给VMware。可使用修补程序和变通办法来补救或变通受影响的VMware产品中的此漏洞。” 阅读VMware发布的安全公告。
“经过身份验证的参与者可能能够将恶意流量发送到VMware Cloud Director,这可能导致任意远程代码执行。可以通过基于HTML5和Flex的UI,API Explorer界面和API访问来利用此漏洞。”
该公司表示,可以通过基于HTML5和Flex的UI,API Explorer界面和API访问来利用此漏洞。
该漏洞影响Linux和Photon OS设备上的VMware Cloud Director 10.0.x,9.7.x和9.5.x,以及Linux上的9.1.x版本。版本8.x,9.0.x和10.1.0不受影响。
VMware vCloud Director 9.1.0.4、9.5.0.6、9.7.0.5和10.0.0.2解决了该问题。VMware还发布了一种 变通办法, 以减轻利用此问题的攻击风险。
该漏洞由Citadelo的TomášMelicher和LukášVáclavík发现。
几周前,VMware 解决了影响vRealize Operations Manager(vROps)产品的漏洞,其中包括两个最近披露的Salt问题。
本月初,VMware解决了一个 严重的信息泄露漏洞,称为CVE-2020-3952,攻击者可能利用该漏洞来破坏vCenter Server或其他使用目录服务(vmdir)进行身份验证的服务。
CVE-2020-3952漏洞的CVSSv3得分为10,位于Windows和虚拟设备上的vCenter Server 6.7版中。
*编译:Domino
*来自:securityaffairs