VMware vRealize Business Standard отримала виправлення критичної вразливості

VMware усунув критичну вразливість в інструменті VMware Realize Business для хмарної аналітики .

Вбудований механізм оновлення дозволяв зловмисникам виконувати довільні команди на сервері, аутентифікація не була потрібна.

Виявлена вразливість отримала ідентифікатор CVE-2021-21984 і оцінку 9,8 за шкалою CVSSv3. Помилка відноситься до класу Pre-auth RCE (виконання довільних команд від імені неавтентифікованого користувача). Серед потенційних загроз - повний контроль над сервером, можливість проводити атаки на інфраструктуру компанії.

Через неправильну конфігурації додатків неавтентифікований зловмисник міг отримати доступ до вбудованої функції оновлення додатків. Ця функція дозволяє виконувати довільні команди на сервері, експлуатуючи законний механізм установки останніх версій продукту. В основі цих помилок неправильного налаштування списку доступу лежить недостатнє тестування функціональності при випуску випусків продуктів.

Щоб усунути цю вразливість, вам слід дотримуватися рекомендацій юридичного повідомлення VMware.