Vulnerabilidade de execução remota de código de patches da VMware no View Planner
A ferramenta de benchmarking fornece metodologia consistente para a comparação de plataformas de implantação de desktop virtual, medindo o desempenho das operações de aplicativos e a escalabilidade da plataforma de implantação.
A VMware anunciou esta semana a disponibilidade de um patch de segurança para o VMware View Planner, para abordar uma vulnerabilidade que leva à execução remota de código.
A ferramenta de benchmarking fornece metodologia consistente para a comparação de plataformas de implantação de desktop virtual, medindo o desempenho das operações de aplicativos e a escalabilidade da plataforma de implantação.
Com o lançamento do View Planner 4.6 Security Patch 1 em 2 de março, a VMware corrige o CVE-2021-21978, um problema que pode permitir que um invasor execute o código remotamente. O bug apresenta uma pontuação CVSS de 8,6.
Em seu comunicado , a VMware explica que o bug está, na verdade, enraizado na validação indevida de entradas, complementada pela falta de autorização.
Juntos, esses problemas podem ser usados para o upload de arquivos arbitrários no aplicativo da web logupload, o que pode levar à execução do código.
De acordo com a empresa, um invasor que queira explorar esse bug precisa já ter comprometido a rede para acessar o View Planner Harness.
O invasor pode então abusar da vulnerabilidade para carregar um arquivo especialmente criado e executá-lo, o que resultaria essencialmente na execução de código remotamente, dentro do contêiner logupload.
A empresa também observa que considera a vulnerabilidade “na faixa de gravidade Importante” e que o bug foi relatado em particular.
A VMware recomenda que todos os clientes afetados apliquem o patch de segurança lançado esta semana, para garantir que estejam protegidos.
O problema foi relatado por Mikhail Klyuchnikov, pesquisador da Positive Technologies. A VMware não faz menção à vulnerabilidade que está sendo explorada à solta.
