Gigant wirtualizacji, firma VMware, wypuściła we wtorek poważną poprawkę bezpieczeństwa, aby zakryć krytyczną lukę w swoim produkcie Carbon Black App Control przeznaczonym dla przedsiębiorstw.
Narzędzie Critical Severity Advisor firmy VMware śledzi lukę jako CVE-2023-20858 i ostrzega, że hakerzy mogą uruchamiać exploity polegające na wstrzykiwaniu, aby uzyskać pełny dostęp do bazowego systemu operacyjnego serwera.
„Złośliwy aktor z uprawnieniami dostępu do konsoli administracyjnej kontroli aplikacji może być w stanie użyć danych wejściowych zaprojektowanych specjalnie w celu umożliwienia dostępu do bazowego systemu operacyjnego serwera”, VMware ostrzeżony.
Luka, której poziom ważności CVSS wynosi 9,1 na 10, dotyczy wersji Kontroli aplikacji 8.7.x, 8.8.x i 8.9.x działających w systemie Microsoft Windows.
Firma poinformowała, że problem został zgłoszony prywatnie przez Jari Jääskelä, badacza bezpieczeństwa działającego na platformie nagród za błędy HackerOne.
VMware Carbon Black App Control to produkt zabezpieczający używany przez rzeczników przedsiębiorstw w celu zapewnienia, że tylko zaufane i zatwierdzone oprogramowanie może działać w krytycznych systemach i punktach końcowych.
VMware wydało również Ważna rada dotycząca cierpienia Aby ostrzec o eskalacji uprawnień i luce w ujawnianiu informacji w produkcie vRealize Orchestrator.
„Złośliwy aktor, który ma dostęp inny niż administracyjny do vRealize Orchestrator, może być w stanie użyć specjalnie zaprojektowanych danych wejściowych, aby ominąć ograniczenia parsowania XML, co prowadzi do dostępu do poufnych informacji lub potencjalnej eskalacji uprawnień” – powiedziała firma.
Powiązany: Luka omijająca luki w uwierzytelnianiu w obszarze roboczym VMware One
Powiązany: VMware twierdzi, że nie ma dowodów na istnienie luk dnia zerowego w atakach ransomware ESXi
Powiązany: VMware Patches VM Escape Luka wykorzystana podczas wydarzenia Geekpwn