Positive Technologies помогла VMware устранить уязвимость в утилите для тестирования производительности виртуальных ПК

Компания VMware исправила уязвимость в VMware View Planner — утилите для симуляции нагрузки на инфраструктуру виртуальных ПК и тестирования их производительности. Соответствующее уведомление опубликовано на сайте VMware.

Уязвимость, обнаруженная экспертом Positive Technologies Михаилом Ключниковым, получила идентификатор CVE-2021-21978 и оценку 8,6 по шкале CVSSv3, что соответствует высокому уровню опасности. Ошибка относится к классу Remote Code Execution, который представляет максимальную угрозу по классификации OWASP и позволяет гарантированно взламывать веб-приложения.

«Эта уязвимость возникла из-за недостаточной фильтрации пользовательских данных, а также в связи с отсутствием авторизации на URL-адресе, который необходим для эксплуатации, — объясняет Михаил Ключников. — После получения RCE злоумышленник может попытаться развить атаку для проникновения в корпоративную сеть или попробовать получить доступ к конфиденциальным данным в View Planner. Но надо иметь в виду, что RCE будет в контейнере, что снижает уровень угрозы».

Для устранения уязвимости необходимо руководствоваться рекомендациями в официальном уведомлении компании VMware.

Ранее VMware поблагодарила Михаила Ключникова за помощь в устранении двух уязвимостей в vCenter Server. Для более опасной ошибки с идентификатором CVE-2021-21972 и оценкой 9,8 уже существует публичный эксплойт, поэтому настоятельно рекомендуем установить соответствующие обновления как можно скорее.

ptsecurity.com