VMware vRealize Business Standard получил исправление критически опасной уязвимости

VMware исправила критически опасную уязвимость в средстве анализа эффективности облачных ресурсов VMware Realize Business for Cloud.

Встроенный механизм обновления позволял злоумышленникам выполнять произвольные команды на сервере, аутентификация не требовалась.

Обнаруженная уязвимость получила идентификатор CVE-2021-21984 и оценку 9,8 по шкале CVSSv3. Ошибка относится к классу Pre-auth RCE (выполнение произвольных команд от имени неаутентифицированного пользователя). Среди потенциальных угроз — полный контроль над сервером, возможность проводить атаки на инфраструктуру компании.

Из-за некорректной настройки приложения неаутентифицированный злоумышленник мог получить доступ к встроенной функции обновления приложения. Данная функция позволяет выполнять произвольные команды на сервере, эксплуатируя легитимный механизм установки последних версий продукта. В основе этих ошибок, связанных с неправильной настройкой списков доступа, лежит недостаточное тестирование функциональности при выпуске релизов продукта.

Чтобы устранить уязвимость, необходимо руководствоваться рекомендациями официального уведомления компании VMware.

Другие новости