VMware vRealize Business Standard отримав виправлення критично небезпечної вразливості
VMware vRealize Business Standard отримала виправлення критичної вразливості
VMware усунув критичну вразливість в інструменті VMware Realize Business для хмарної аналітики .
Вбудований механізм оновлення дозволяв зловмисникам виконувати довільні команди на сервері, аутентифікація не була потрібна.
Виявлена вразливість отримала ідентифікатор CVE-2021-21984 і оцінку 9,8 за шкалою CVSSv3. Помилка відноситься до класу Pre-auth RCE (виконання довільних команд від імені неавтентифікованого користувача). Серед потенційних загроз - повний контроль над сервером, можливість проводити атаки на інфраструктуру компанії.
Через неправильну конфігурації додатків неавтентифікований зловмисник міг отримати доступ до вбудованої функції оновлення додатків. Ця функція дозволяє виконувати довільні команди на сервері, експлуатуючи законний механізм установки останніх версій продукту. В основі цих помилок неправильного налаштування списку доступу лежить недостатнє тестування функціональності при випуску випусків продуктів.
Щоб усунути цю вразливість, вам слід дотримуватися рекомендацій юридичного повідомлення VMware.
