Af Eskil Sørensen, 22/02/23
VMware udgav tirsdag rettelser for at håndtere en kritisk sårbarhed, der påvirker deres VMwares Carbon Black App Control-produkt.
Det skriver The Hacker News.
Sårbarheden har id-nummeret CVE-2023-20858, en CVSS-score på 9,1 og beskrives som en injection sårbarhed. Den påvirker App Control-versionerne 8.7.x, 8.8.x og 8.9.x. Udnyttelse kræver privilegeret adgang til administrationskonsollen i App Control-produktet, hvor en ondsindet aktør kan bruge specielt udformet input, der giver adgang til det underliggende serveroperativsystem, fremgår det.
Ifølge The Hacker News er det nødvendigt at opdatere til version 8.7.8, 8.8.6 og 8.9.4 for at mindske potentielle risici, da der ikke findes alternative metoder til imødegåelse af risici.
VMware har også rettet en XML External Entity (XXE)-sårbarhed (CVE-2023-20855, CVSS-score: 8,8), der påvirker vRealize Orchestrator, vRealize Automation og Cloud Foundation.
Links:
https://thehackernews.com/2023/02/vmware-patches-critical-vulnerability.html