VMware Salı günü, VMware Cloud Foundation ürünündeki kritik bir güvenlik açığını gidermek için güvenlik güncellemeleri gönderdi.
CVE-2021-39144 olarak izlenen sorun, CVSS güvenlik açığı puanlama sisteminde 10 üzerinden 9,8 olarak derecelendirilmiştir ve XStream açık kaynak kitaplığı aracılığıyla uzaktan kod yürütme güvenlik açığı ile ilgilidir.
Şirket bir danışma belgesinde, “VMware Cloud Foundation’da (NSX-V) giriş serileştirmesi için XStream’den yararlanan kimliği doğrulanmamış bir uç nokta nedeniyle, kötü niyetli bir aktör, cihazdaki ‘kök’ bağlamında uzaktan kod yürütme alabilir” dedi.
Palo Alto tabanlı sanallaştırma hizmetleri sağlayıcısı, kusurun ciddiyeti ve nispeten düşük kullanım çıtası ışığında, ömrünü tamamlamış ürünler için bir yama da kullanıma sundu.
Güncellemenin bir parçası olarak VMware tarafından ayrıca CVE-2022-31678 (CVSS puanı: 5.3), bir hizmet reddi (DoS) durumuna veya yetkisiz bilgilere neden olmak için kullanılabilecek bir XML Harici Varlık (XXE) güvenlik açığı da ele alınmaktadır. ifşa.
Source Incite’den güvenlik araştırmacıları Sina Kheirkhah ve Steven Seeley, her iki kusuru da bildirdikleri için itibar kazandılar.
VMware Cloud Foundation kullanıcılarının, olası tehditleri azaltmak için yamaları uygulamaları önerilir.