VMware Salı günü, VMware Cloud Foundation ürünündeki kritik bir güvenlik açığını gidermek için güvenlik güncellemeleri gönderdi.
CVE-2021-39144 olarak izlenen sorun, CVSS güvenlik açığı puanlama sisteminde 10 üzerinden 9,8 olarak derecelendirilmiştir ve XStream açık kaynak kitaplığı aracılığıyla uzaktan kod yürütme güvenlik açığı ile ilgilidir.
Şirket, “VMware Cloud Foundation’da (NSX-V) giriş serileştirme için XStream’den yararlanan kimliği doğrulanmamış bir uç nokta nedeniyle, kötü niyetli bir aktör, cihazdaki ‘root’ bağlamında uzaktan kod yürütme alabilir” dedi. söz konusu bir danışma belgesinde.
Palo Alto tabanlı sanallaştırma hizmetleri sağlayıcısı, kusurun ciddiyeti ve kullanım için nispeten düşük çıtası ışığında ayrıca bir yama Ömrünü tamamlamış ürünler için.
Güncellemenin bir parçası olarak VMware tarafından ayrıca CVE-2022-31678 (CVSS puanı: 5.3), bir XML Harici Varlık (XXE) hizmet reddi (DoS) durumuna veya yetkisiz bilgi ifşasına neden olmak için kullanılabilecek güvenlik açığı.
Source Incite’den güvenlik araştırmacıları Sina Kheirkhah ve Steven Seeley, her iki kusuru da bildirdikleri için itibar kazandılar.
VMware Cloud Foundation kullanıcılarının, olası tehditleri azaltmak için yamaları uygulamaları önerilir.