WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
VMware vá lỗ hổng thực thi mã từ xa trong View Planner
VMware vừa phát hành View Planner 4.6, khắc phục lỗ hổng (CVE-2021-21978, điểm CVSS 8.6) có thể cho phép kẻ tấn công thực thi mã từ xa.
View Planner là một công cụ miễn phí so sánh các nền tảng triển khai máy tính để bàn ảo.
Theo VMware, lỗi bắt nguồn từ việc xác thực đầu vào không đúng, cộng với đó là việc thiếu phân quyền. Cả hai vấn đề này có thể bị lạm dụng để tải lên các tệp tùy ý trong ứng dụng web logupload, sau đó dẫn đến thực thi mã.
Kẻ tấn công cần phải xâm nhập mạng để truy cập View Planner Harness, sau đó lạm dụng lỗ hổng để tải lên và thực thi tệp tự tạo, về cơ bản sẽ dẫn đến thực thi mã từ xa trong logupload container.
VMware không đề cập đến việc lỗ hổng có đang bị khai thác hay không.
Coi lỗ hổng ở mức “quan trọng” (được báo cáo riêng), VMware khuyến cáo khách hàng bị ảnh hưởng áp dụng bản vá vừa phát hành để được bảo vệ.
View Planner là một công cụ miễn phí so sánh các nền tảng triển khai máy tính để bàn ảo.
Theo VMware, lỗi bắt nguồn từ việc xác thực đầu vào không đúng, cộng với đó là việc thiếu phân quyền. Cả hai vấn đề này có thể bị lạm dụng để tải lên các tệp tùy ý trong ứng dụng web logupload, sau đó dẫn đến thực thi mã.
Kẻ tấn công cần phải xâm nhập mạng để truy cập View Planner Harness, sau đó lạm dụng lỗ hổng để tải lên và thực thi tệp tự tạo, về cơ bản sẽ dẫn đến thực thi mã từ xa trong logupload container.
VMware không đề cập đến việc lỗ hổng có đang bị khai thác hay không.
Coi lỗ hổng ở mức “quan trọng” (được báo cáo riêng), VMware khuyến cáo khách hàng bị ảnh hưởng áp dụng bản vá vừa phát hành để được bảo vệ.
Theo Security Week