Hôm thứ Ba, VMware đã gửi các bản cập nhật bảo mật để giải quyết một lỗ hổng bảo mật nghiêm trọng trong sản phẩm VMware Cloud Foundation của mình.
Được theo dõi là CVE-2021-39144, vấn đề đã được xếp hạng 9,8 trên 10 trên hệ thống chấm điểm lỗ hổng CVSS và liên quan đến lỗ hổng thực thi mã từ xa thông qua thư viện mã nguồn mở XStream.
“Do một điểm cuối chưa được xác thực tận dụng XStream để tuần tự hóa đầu vào trong VMware Cloud Foundation (NSX-V), một tác nhân độc hại có thể thực thi mã từ xa trong bối cảnh ‘root' trên thiết bị”, công ty cho biết trong một lời khuyên.
Do mức độ nghiêm trọng của lỗ hổng và mức khai thác tương đối thấp, nhà cung cấp dịch vụ ảo hóa dựa trên Palo Alto cũng đã cung cấp một bản vá cho các sản phẩm cuối đời.
Cũng được VMware giải quyết như một phần của bản cập nhật là CVE-2022-31678 (điểm CVSS: 5,3), một lỗ hổng XML bên ngoài thực thể (XXE) có thể bị khai thác để dẫn đến tình trạng từ chối dịch vụ (DoS) hoặc thông tin trái phép tiết lộ.
Các nhà nghiên cứu bảo mật Sina Kheirkhah và Steven Seeley của Source Incite đã được ghi nhận là đã báo cáo cả hai sai sót.
Người dùng của VMware Cloud Foundation nên áp dụng các bản vá để giảm thiểu các mối đe dọa tiềm ẩn.
