Positive Technologies помогла VMware устранить уязвимость в утилите для тестирования производительности виртуальных ПК
VMware исправила уязвимость в VMware View Planner — утилите для симуляции нагрузки на инфраструктуру виртуальных ПК и тестирования их производительности. Соответствующее уведомление опубликовано на сайте VMware.
Уязвимость, обнаруженная экспертом Positive Technologies Михаилом Ключниковым, получила идентификатор CVE-2021-21978 и оценку 8,6 по шкале CVSSv3, что соответствует высокому уровню опасности. Ошибка относится к классу Remote Code Execution, который представляет максимальную угрозу по классификации OWASP и позволяет гарантированно взламывать веб-приложения.
«Эта уязвимость возникла из-за недостаточной фильтрации пользовательских данных, а также в связи с отсутствием авторизации на URL-адресе, который необходим для эксплуатации, — сказал Михаил Ключников. — После получения RCE злоумышленник может попытаться развить атаку для проникновения в корпоративную сеть или попробовать получить доступ к конфиденциальным данным в View Planner. Но надо иметь в виду, что RCE будет в контейнере, что снижает уровень угрозы».
Для устранения уязвимости необходимо руководствоваться рекомендациями в официальном уведомлении компании VMware.
Ранее VMware поблагодарила Михаила Ключникова за помощь в устранении двух уязвимостей в vCenter Server. Для более опасной ошибки с идентификатором CVE-2021-21972 и оценкой 9,8 уже существует публичный эксплойт, поэтому настоятельно рекомендуем установить соответствующие обновления как можно скорее.
Источник: https://cnews.ru/link/n526951
Подписаться на рассылку:
(812) 324 98 78