VMware vá lỗ hổng thực thi mã tùy ý trong máy chủ vCenter

[WhiteHat News #ID:2112]

Lỗ hổng (CVE-2022-31680, điểm CVSS 7,2) là một lỗ hổng deserialization (lỗi chuyển đổi cấu trúc dữ liệu không an toàn) trong bộ điều khiển dịch vụ nền tảng (PSC).

“Kẻ xấu có quyền truy cập quản trị trên máy chủ vCenter có thể khai thác lỗi này để thực thi mã tùy ý trên hệ điều hành cơ bản lưu trữ máy chủ vCenter”, VMware cho biết.

Lỗ hổng đã được VMware giải quyết trong bản phát hành vCenter Server 6.5 U3u.

Tuần này, VMware cũng phát hành một bản vá cho lỗ hổng từ chối dịch vụ (DoS) có mức nghiêm trọng thấp trong VMware ESXi.

Lỗ hổng này (CVE-2022-31681) là một lỗi tham chiếu con trỏ null, có thể cho phép “kẻ xấu chỉ có đặc quyền trong quy trình VMX” tạo ra điều kiện DoS trên máy chủ.

Lỗi đã được giải quyết trong các phiên bản ESXi70U3sf-20036586, ESXi670-202210101-SG và ESXi650-202210101-SG. Cloud Foundation (ESXi) cũng bị ảnh hưởng.

VMware khuyến nghị tất cả khách hàng cập nhật lên phiên bản đã vá của phần mềm bị ảnh hưởng. Công ty không đề cập đến việc bất kỳ lỗ hổng nào trong số này đang bị khai thác trong các cuộc tấn công hay không.

Theo Security Week​