VMware 存在严重的命令注入型漏洞 且尚未被修复

VMware发布了临时解决方案,以解决其产品中的一个严重漏洞,攻击者可以利用该漏洞控制受影响的系统。

这家虚拟化软件和服务公司在其咨询中指出:“恶意攻击者可以通过端口8443访问网络上的管理配置器,配置器管理员帐户的有效密码,从而可以在底层操作系统上以不受限制的特权执行命令。”

该命令注入漏洞的编号为CVE-2020-4006,其CVSS评分为9.1(满分10),影响VMware Workspace One Access、Access Connector、Identity Manager和Identity Manager Connector。

虽然该公司表示此漏洞的补丁“即将发布”,但并没有说明预计发布的具体日期。目前尚不清楚该漏洞是否被攻击者利用。

受影响产品的完整列表如下:

  1. VMware Workspace One Access(适用于Linux和Windows的版本20.01和20.10)
  2. VMware Workspace One Access Connector(适用于Windows的版本20.10、20.01.0.0和20.01.0.1)
  3. VMware Identity Manager(适用于Linux和Windows的版本3.3.1、3.3.2和3.3.3)
  4. VMware Identity Manager Connector(适用于Linux的版本3.3.1、3.3.2和Windows的3.3.1、3.3.2、3.3.3)
  5. VMware Cloud Foundation(适用于Linux和Windows的4.x版)
  6. vRealize Suite Lifecycle Manager(适用于Linux和Windows版本8.x)

VMware表示,该解决方案仅适用于托管在8443端口上的管理配置器服务。

该公司表示,“解决方法实施后,将无法更改配置器管理的设置。如果需要更改,需要先恢复原来的状态,进行必要的更改后再次禁用,直到补丁可用。”

 

 

 

 

 

消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。

本文由 HackerNews.cc 翻译整理。

转载请注明“转自 HackerNews.cc ” 

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论