Компания VMware исправила уязвимость в VMware View Planner — утилите для симуляции нагрузки на инфраструктуру виртуальных ПК и тестирования их производительности. Соответствующее уведомление опубликовано на сайте VMware.
Уязвимость, обнаруженная экспертом Positive Technologies Михаилом Ключниковым, получила идентификатор CVE-2021-21978 и оценку 8,6 по шкале CVSSv3, что соответствует высокому уровню опасности. Ошибка относится к классу Remote Code Execution, который представляет максимальную угрозу по классификации OWASP и позволяет гарантированно взламывать веб-приложения.
«Эта уязвимость возникла из-за недостаточной фильтрации пользовательских данных, а также в связи с отсутствием авторизации на URL-адресе, который необходим для эксплуатации, — объясняет Михаил Ключников. — После получения RCE злоумышленник может попытаться развить атаку для проникновения в корпоративную сеть или попробовать получить доступ к конфиденциальным данным в View Planner. Но надо иметь в виду, что RCE будет в контейнере, что снижает уровень угрозы».
Для устранения уязвимости необходимо руководствоваться рекомендациями в официальном уведомлении компании VMware.
Ранее VMware поблагодарила Михаила Ключникова за помощь в устранении двух уязвимостей в vCenter Server. Для более опасной ошибки с идентификатором CVE-2021-21972 и оценкой 9,8 уже существует публичный эксплойт, поэтому настоятельно рекомендуем установить соответствующие обновления как можно скорее.
Positive Technologies уже 19 лет создает инновационные решения в сфере информационной безопасности. Продукты и сервисы компании позволяют выявить, верифицировать и нейтрализовать реальные бизнес-риски, которые могут возникать в IT-инфраструктуре предприятий. Наши технологии построены на многолетнем исследовательском опыте и экспертизе ведущих специалистов по кибербезопасности.
Сегодня свою безопасность нам доверяют более 2000 компаний в 30 странах мира. В числе наших клиентов в России — 80% участников рейтинга «Эксперт-400».
